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ARGENTINA 2004 


se 


transformó ... Por eso hoy se presenta 

como un evento único en su tipo en todo América 
Latina, con + de 150 Empresas Expositoras 
y nuevos Atractivos Especiales. 


SEMINARIO DE TECNOLOGIA Y MERCADO Las 
actividades académicas cuentan con la participación de 
reconocidos especialistas nacionales e internacionales 
que aportan su visión sobre avances e innovaciones en 
Comunicaciones e IT y las tendencias del sector. 

El esquema de actividades para este año incluye 
Paneles Temáticos, Presentaciones Magistrales de 
Keynote Speakers y Desarrollo de Tutorials. 


a 


ge 3Com GCONVERGENCE CENTER Conozca las 
soluciones de redes empresariales que pueden cambiar 
el ritmo de los negocios de su empresa. 


(8) contact CENTER EN VIVO Sepa por qué el e-CRM y 
el Contact Center son factores imprescindibles en las 
nuevas estrategias de negocios orientados al cliente. 


100% tecnología y negocios 


Regístrese HOY mismo a la Exposición y Seminario en 
httip://WwWwW.expocomm.com.ar/cortech 
Para obtener información adicional sobre el Seminario, comuníquese de Lunes a Viernes 
de 9a 19 hs. al +54 (11) 5520 0009 o vía e-mail a expocommOclienting.com.ar 
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ME 
Editorial 
¿Cómo planeamos los contenidos de “NEX IT 
Specialist”? 


Todos los meses debemos decidir, sobre qué temas versarán 
los artículos a incluir en “NEX IT Specialist”. Cada uno del staff 
editorial, por supuesto, tiene sus preferencias. Si simplemente se 
adicionasen estas propuestas tendríamos una revista muy distinta a la 
que está en sus manos. 

¿Entonces? 

Listemos qué temas podrían ser de interés de nuestros 
lectores (el IT Specialist): networking (routers, switches), programación 
(.¡NET, Java, Mono), Web-design (sobre productos Macromedia, NVU 
de Open Source); los posibles sistemas operativos: Unix-like (UNIX, 
BSD (FreeBSD, NetBSD, OpenBSD), Linux), Windows (Win2K, 2003 
Server, XP) y otros; las posibles tecnologías: LDAP,ADSL, NAT, 
protocolos de tuneleo (L2TP/IPsec o PPTP), IPsec, VPNs, SSH, SSL; 
lo muy nuevo : Wireless (Wi-Fi, WiMAX, Zigbee, Mobile-Fi, 
ultrawideband); servidores : DNS, DHCP, WINS, Web-servers (Apache, 
Internet Information Server, 1IS de Microsoft), Proxy-servers (ISA server 
de Microsoft, SQUID); seguridad informática (criptografía, PKI, Ethical 
hacking, Kerberos, Normas:ISO 17799); temas de educación (IT en 
universidades, Centros de Capacitación, Certificaciones 
internacionales); Posibles Modelos de negocio, salida laboral, Cámaras 
empresariales del mundo |T, grupos de usuarios, eventos, lugares 
educativos que brindan seminarios de actualización, el movimiento 
Open Source, e-goverment, e-learning. Y la lista sigue. 


Sí, es muy complicado ya que el espectro es muy amplio y los 
cambios tecnológicos muy rápidos. 
Visto de este modo la decisión resulta muy dificil. 


Pero no, la receta es muy simple: primero los fundamentos, 
los pilares sobre lo que se sostiene este mundo |T. Segundo, la historia 
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——— Kerberos 
Pag 6. 


- Kerberos es un servicio de 
== autenticación desarrollado en el 
MIT y utilizado en sistemas 
UNIX-like desde 1980. En este 
artículo explicamos para qué 
sirve, cómo funciona. Además 
detallamos como está implemen- 
tado en Windows 2000-03. 


HILOS 


IPSEC en Linux: 
AA | 


PS - FreeS/WAN y su anuncia- 
anta do final 
=== Pag 10. 
= Hasta hace poco tiempo 


FreeS/WAN era la herramienta 
nome por excelencia para la creación 
=> Redes Privadas Virtuales (VPNs) 
en Linux. Permitía la implemen- 
tación de una VPN en forma muy 
simplificada. 

En este artículo detallarameros 
la evolución de FreeS/WAN: 
OpenSwan y StrongSwan. 


Fundamentos de Seguridad Informática. 
A Paso a Paso 
Paso 2: Elementos de 
Criptografía 11 
Pag. 14 


-— E De lo discutido en el Paso 1 en 
= “NEX IT Specialist +10” aprende- 
mos los siguientes conceptos: 
Firma digital, envío de llaves 
secretas (Key Exchange), certifi- 
cados X.509, PKI (public Key 
Infrastructure) y PGP (pretty 
Good Privacy). 


Clustering bajo Windows 
Pag. 20 


pe de Usuarios ..... 


Miicrosoft 


[6] 
meta E 


A La utilización de clusters 


permite aumentar la capa- 
+. Cidad de procesamiento o 
tener tolerancia a fallos (en 
realidad de alta disponibili- 
dad) dentro de nuestra 
infraestructura. En este 
artículo se discutirán las 
tecnologías que gobiernan 
y cómo se configura un 
cluster de servidores bajo 


| el entorno Windows 2003. 


Ethical Hacking. Paso a Paso 
Paso 2: Scanning 
Pag. 23 
PR _A_4T4T4K4>< KK 
En el Paso 1 (“NEX IT 
A Spacialist ++10) entendimos 
-— “footprinting”. El próximo 
z paso es aprender qué puer- 


' : a tos y sistemas operativos 
3 componen nuestro objeti- 
a y vo. La técnica se conoce 


como “scanning”. Existen 
numerosas herramientas 
que detallamos en este 
artículo. 


Rainbow crack. 
Herramienta para cracking de passwords en 
Windows. 


tainbow Crack 


“LopthCrack ” hasta hace 
muy poco era la herramien- 
ta “indiscutida” para el crac- 
keo de passwords en siste- 
mas Operativos Windows. 
Hoy “Rainbow crack” ha 
tomado su lugar. Del uso 
de LC5 los administradores 
pudieron aprender como 
= z - proteger aún más sus sis- 

= temas. Investigar y apren- 
n= der como funciona 
Rainbowcrak es también 


una muy buena idea. 
Modelos de negocio basados en software 


Member e 


Sarmiento 1562 7” 1. Capital Federal / secretariadmug.org.ar 


libre. 
_ Pag. 30 


En este artículo se ofrece 
una visión del software 
libre desde el punto de 
vista del emprendedor. Se 
van a recorrer algunos 
modelos de negocio rela- 
cionados con el software 
libre con viabilidad compro- 
bada en el mundo real. 
=— Este sirvió como prólogo a 
la ponencia de Fernando 
Monera Daroqui presentada en el ultimo congreso 
hispaLinux en Septiembre de 2003. 


UNIX, BSD (FreeBSD, NetBSD y OpenBSD) y 


> LINUX. 
Pag. 36 


un La historia del sistema 
RO UNIX data de los años 60. 

- Sus mismos creadores 
"E desarrollaron el lenguaje 


as]  C. La evolución de UNIX, 
la aparición de BSD y sus 


= derivados open source 

=- (FreeBSD, NetBSD y 

€. 2 OpenBSD), MINIX con 

= == Andrew S. Tanenbaum y 
=— Linux conforman esta his- 


toria entrelazada de personalidades e intereses muy 
interesante de conocer. 


Certificaciones de CISCO Systems 
Pag. 40 


€ Argentina fue el primer 
z país fuera de Estados 
== + Bb Unidos en lanzar el CNAp 
(Cisco Networking 

Academy program) a partir 

de la selección, por parte 

de Cisco Systems, de 
Fundación Proydesa 

como Academia Regional. 

En este artículo detallamos 

. la oferta de certificaciones 
internacionales de CISCO. 


Participá de la comunidad 
de desarrolladores que 
habla en tu mismo idioma. 


pAsocian 
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CALENDARIO DE EVENTOS 


Expo “Tecnoar 04” Se realizará del 2 al 4 de septiembre en el Patio 
de Madera de la Ciudad de Rosario. 

Exposición de Informática y tecnología. Más información: 
www.tecnoar.org.ar 


INFINITION 04- Electronic Entertainment Exposition 8 World Cyber 
Games Argentina Preliminary. Se realizará del 3 al 5 de septiembre en 
La Rural, Capital Federal. 

Infinition 04 es el primer mega evento dedicado exclusivamente a la 


comunidad gamer. Más información: info(dgamesandgamers.com.ar 


Expo Comm. Se realizará del 21 al 24 de septiembre en La Rural, 
Capital Federal. 
100% Tecnología y Negocios. Más información: www.expocomm.com.ar 


V Jornadas Universitarias sobre Tecnologías de 
Internet, “Los Nuevos Paradigmas”. 


Organiza: La Facultad Regional Buenos Aires de la Universidad 
Tecnológica Nacional (Departamento Ingeniería en Sistemas de 
Información, Centro de Estudiantes de Ingeniería Tecnológicos - CEIT- y 
Secretaría de Cultura y Extensión Universitaria), la Fundación para el 
Desarrollo del Conocimiento, FUNDESCO. 


Auspicia: Cámara Argentina de Comercio Electrónico, CACE, Cámara 
de Empresas de Software y Servicios Informáticos, CESSI, Universidad 
Nacional de la Matanza, Universidad de Morón, Polo Tecnológico IT 
Buenos Aires. JUEVES 14 de OCTUBRE de 2004, LIBERTADOR SHE- 
RATON HOTEL, Av. Córdoba y Maipú — 


Objetivos: Aunar, en un día de intercambio de experiencias, a la comu- 
nidad de intereses e ideales de aquellos universitarios y no universita- 
rios que entrevean que las emergentes tecnologías de Internet coadyu- 


van al mejoramiento de nuestra sociedad. 


1% Congreso Interinstitucional de Tecnología Educativa- 2? 
Congreso Institucional de Tecnología Educativa- UTN. 

Se realizará del 18 al 21 de octubre. 

Más información: www.utn.edu.ar 


Microsoft lanza el programa 
+MAS, para capacitar y dar 
empleo calificado en tecnología 
Esta iniciativa sin precedente en el país, 


otorgará en una primera etapa, capacita- 
ción tecnológica gratuita para 300 perso- 
nas y creará más de 100 pasantías o 
empleos altamente calificados. 


Microsoft de Argentina, en conjunto con los polos 
tecnológicos de Buenos Aires, Tandil, Córdoba, 
Rosario, Bahía Blanca y la Cámara de Empresas 
de Software y Servicios Informáticos (CESSI), 
anunció hoy la realización del “Plan +MAS”, a tra- 
vés del cual se entregarán a estudiantes y desarro- 
lladores 300 becas de estudio para participar de un 
programa de capacitación presencial en .Net. Los 


asistentes que aprueben los exámenes del curso 
tendrán, además, la posibilidad de postularse para 
más de 100 pasantías que empresas clientes y 
socios de negocio de Microsoft de Argentina otor- 
garán. 

El programa está dirigido a estudiantes universi- 
tarios de carreras de Sistemas o relacionadas con 
tecnologías y programación, así como a desarrolla- 
dores interesados en capacitarse y mantenerse 
actualizados. 

Más de 300 jóvenes podrán capacitarse y actuali- 
zarse tecnológicamente sin costo. Los asistentes al 
programa de capacitación podrán postularse, a tra- 
vés de un sitio web (a partir de septiembre en 
www.empleos-net.com), a búsquedas para cubrir 
posiciones laborales y ser contactados por emple- 
adores potenciales en base al perfil definido. 

Las 100 pasantías o empleos altamente califica- 
dos permitirán a los desarrolladores la oportunidad 
de participar en proyectos, adquirir experiencia e 
insertarse en el mercado laboral. 

El programa de capacitación se extenderá a lo 
largo de un año. Cada curso presencial consiste en 
una clase semanal de 3 horas de duración durante 


Links de Eventos, Actividades 
de Entrenamiento y Seminarios 
del mundo de IT. 


http://www.mug.orq.ar/Eventos/default. aspx 
http://www. linux.org.ar/modules/tinyevent/ 
http://www.mmug- 
ar.com.ar/noticias/index.html 
http://www.desarrolladoras.com/eventos.html 
http://msevents.microsoft.com/cui/default. aspx 
2culture=es-ar 

http://www.intel. com/espanol/events/index.htm 
?iid=espanolHPAGE+header_trainingeventsé: 
http://www.sun.com/aboutsun/media/ 
http://www.ibm.com/news/ar/events/ 
http://www.palermo.edu.ar/eventos/index.html 
http://www.cema.edu.ar/conferencias/ 
http://www.canal-ar.com.ar/ 
http://www.uade.edu.ar/FRSET_HOME.asp?v 
PAG=HOME aspévMenuDer=Actividades/Ho 
me_news.asp8CKtop=1008,CKizg=100 
http:/Awww.cessi.org.ar/main_sp.htm 
http://www.copitec.org.ar/cursos/curso.htm 
http://www.novell.com/events/ 
http://www.cortech.com.ar/gen/sem.htm 
http://www.solar.org.ar/rubrique.php3?id_rubri 
que=9 
http://www.infobae.com/interior/detalletecno.p 
hp?tipo=2 
http://www.informatica.clarin.com/suplemen- 
tos/informatica/ultimo/index.html 

http://www. lanacion.com.ar/Archivo/IndexSecc 
ion.asp?publicacion_id=119648.categoria_id= 
432 
http://www.preteco.com/detalle.php?IDSEC- 
CION=98 
http://www.cisco.com/ar/ee/index.shtml 
http://www. oracle.com/webapps/events/Event 
s.¡sp?country=AR 


Si quiere recomendarnos algún sitio 
de interés, escríbanos a 


eventos(Onexweb.com.ar 


8 semanas, más 30 horas de estudio on-line con 
tutores. Se llevarán a cabo en la Universidad 
Abierta Interamericana (UAl), la Universidad 
Tecnológica Nacional (UTN), la Universidad 
Argentina de la Empresa (UADE), la Universidad 
Nacional del Centro de la Provincia de Buenos 
Aires (UNICEN), la Universidad Nacional del Sur 
(Bahía Blanca), el Instituto Tecnológico de 
Córdoba, y en Microsoft de Argentina. 

Asimismo, quienes aprueben los exámenes del 
curso certificarán con 3 estrellas en el programa 
“Desarrollador cinco estrellas” de Microsoft, el cual 
ya ha certificado a más de 1.500 desarrolladores. 

Este programa se enmarca dentro de un conjun- 
to de acciones que Microsoft de Argentina desarro- 
lla vinculadas con la transferencia de conocimien- 
to, las cuales implican una inversión aproximada 
de $ 13.500.000. 

Para más información sobre el programa +MAS, 
se puede visitar el sitio: 
http://www.microsoft. com/argentina/mas . 
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¿Qué es Kerberos? 

Kerberos es un “servicio de autentica- 
ción” desarrollado en el MIT 
(Massachusetts Institute of Technology). 
Su propósito es el de permitir a usuarios y 
servicios autenticarse entre ellos. Esto es, 
les permite demostrar su identidad unos a 
otros. El MIT desarrolló Kerberos en los 
años 80 y permitió su libre distribución 
con la idea de reemplazar lo que era están- 
dar para autenticarse: “autenticación por 
afirmación” (authentication by assertion). 
Autenticación por afirmación funciona del 
siguiente modo: cuando un usuario corre 
un programa que accede un servicio en la 
red, el programa (llamado cliente) “afirma” 
al servicio que corre en representación del 
usuario. Y eso es todo. No necesitamos 
recalcarlo, esto provee un muy bajo nivel 
de seguridad. 

La alternativa de requerir la entrada del 
password del usuario cada vez que se 
accede a un servicio de red tiene dos pro- 
blemas. Primero, es demandante para el 
usuario y segundo, es inseguro cuando se 
accede a servicios en una máquina remota 
(el password deberá viajar sin encriptar). 


E:¡1TMPYPágina_06.nex 


EA 


A 
Claramente NO aceptable. 

Por lo tanto, Kerberos fue diseñado para 
eliminar la necesidad de demostrar la 
posesión de información privada o secreta 
(el password) divulgando esta información 
Kerberos mismo. Kerberos se basa en el 
modelo de distribución de llaves (claves, 
keys) desarrollado por Needham y 
Schroeder. Una llave (key) se usa para 
encriptar y desencriptar pequeños mensa- 
jes y es ella misma típicamente una 
secuencia de bytes corta. Llaves (keys) 
dan la base para autenticación en 
Kerberos. Todo lo relativo a Kerberos se 
puede encontrar en el web site del MIT 
(www.mit.edu/kerberos/www). 


¿Qué hace Kerberos? 

¿Cómo permite Kerberos autenticarnos? 
Del mismo modo que nos autenticamos en 
la vida diaria. Típicamente mostramos 
nuestro documento de identidad. ¿Y este, 
qué muestra? Muestra que alguna reparti- 
ción del gobierno (Policia Federal, 
Ministerio del interior) certifica la asocia- 
ción de nuestra identidad a algún aspec- 
to físico (foto, huella digital, altura, color de 


Este artículo pre- 
tende dar un entendi- 
miento de Kerberos: 
para qué sirve, cómo 
funciona. La filosofía 
general de Kerberos. 
Habiendo entendido 
esto, podemos leer 


artículos más técnicos. Está 
basado en el 
Brian Tung (The Moron's 
Guide 
www.isi.edu/-brian/secu- 
rity/kerberos.html). 
Recomendamos visitar los 
enlaces citados en el artículo 
“Excelente Bibliografía sobre 
Kerberos?” para obtener más 
documentación. 


artículo de 


to Kerberos, 


ojos) que aparece representado en el 
documento. Al documento se lo considera 
imposible de copiar. Otro ejemplo de docu- 
mento podría ser el carnet de conductor 
que incluiría el nombre, dirección, fecha de 
nacimiento, y quizás alguna restricción 
(uso de anteojos). Finalmente la identifica- 
ción tiene una duración limitada que apare- 
ce como la fecha de expiración. 

Notemos que la demostración de la 
identidad requiere además un número de 
cosas: 
>>La tarjeta no debe estar alterada (cam- 
bio de fechas, nombre, foto). 
>>Que la persona que realiza la autentica- 
ción acepta a quien la emitió como de con- 
fianza. 

Kerberos trabaja básicamente de la 
misma manera. Es usado cuando un usua- 
rio en la red trata de hacer uso de un ser- 
vicio de red y el servicio requiere asegurar- 
se que el usuario es quien dice ser. Para 
esto, el usuario presentará un “ticket” 
(boleto, etiqueta) que ha sido emitido por el 
“servicio de autenticación” (Authentication 
Server, AS) de Kerberos. 

El servicio examina el ticket para veri- » 


ficar la identidad del usuario. Si todo está 
en regla, es aceptado. 

Por tanto, este ticket debe contener 
información que lo ligue inequívocamente 
al usuario. Como el usuario y el servicio no 
se enfrentan cara a cara como en el caso 
de documentos de identidad, una foto no 
sirve. El ticket debe demostrar que quien 
lo muestra conoce algo que solo el usuario 
conoce, como un password. Aun más, 
debe haber protecciones contra atacantes 
que roben el ticket y lo usen un tiempo 
después. 


¿Qué cosas asume Kerberos? 

Kerberos asume algunas cosas del 
entorno en el que vive. Por ejemplo, que 
los usuarios no harán elecciones pobres 
de los passwords. 

Si un usuario elige una password como 
“password” o “nada”, entonces el atacante 
interceptará algunos mensajes encriptados 
y montara un “ataque de diccionario” 
donde probará diferentes passwords a ver 
cuál los desencripta. Si lo logra, el atacan- 
te podrá simular ser el usuario frente a 
cualquiera. En forma similar Kerberos 
asume que las máquinas son más o 
menos seguras y que sólo las conexiones 
a través de la red son vulnerables de ser 
comprometidas. En otras palabras, 
Kerberos asume que no hay manera para 
un atacante de posicionarse entre el usua- 
rio y el cliente de modo de obtener el pass- 
word de esta forma. 


Los Detalles 

Veamos más en detalle cómo funciona 
Kerberos. Tenemos hasta ahora tres acto- 
res: Usuario, servicio a ser accedido y el 
AS (Authentication Server). 

Tanto el usuario como el servicio tienen 
que tener sus llaves registradas con el AS. 
La llave del usuario se deriva del password 
por él elegido. La llave del servicio se elige 
aleatoriamente (no hay nadie que tipee 
una contraseña). 

Para hacer esta explicación más senci- 
lla, imaginemos que los mensajes se escri- 
ben en un pedazo de papel (en lugar de 
ser digitales) y se “encriptan” encerrándo- 
los en una caja fuerte usando una llave (el 
mecanismo de la cerradura es el algorit- 
mo). En este mundo de “cajas fuerte” los 
llamados “principales” (usuario y servicios) 
son creados en el AS y se registra una 
copia de sus llaves en el AS. 

1.El usuario envía un mensaje al AS: “Yo, 
“E.L. Usuario”, quisiera hablar con “Server 
Tal”.” 

2.Cuando el AS recibe este mensaje, 
hace 2 copias de otra nueva llave. Esta se 
llama “Session key”. Se usará para el inter- 
cambio directo entre el usuario y el servi- 
cio. 

3.Pone una de las “Session key” en la 


caja 1, junto con un pedazo de papel que 
dice “Server Tal”. Cierra la caja con la llave 
del usuario (recordar que AS tiene una 
llave de usuario y otra del servicio que fue- 
ron registradas). ¿Porqué debe estar ese 
pedazo de papel? Recordar que la caja es 
un mensaje encriptado y que la “Session 
Key” es una secuencia de bytes.Si la caja 
1 solo contiene la “Session Key”, el usua- 
rio no sabría decir si la respuesta vino del 
AS o si la decriptacion fue exitosa. 

4. El AS pone la otra “Session Key” en la 
caja 2, con un papel con el nombre “E.L 
Usuario” escrito en él. Cierra la caja con la 
llave del servicio. 

5. Devuelve ambas 
cajas al usuario 

6. El usuario abre caja 
1 con su llave, extrae la 
“Session Key” y el papel 
que dice “Server Tal”. 

7. El usuario no puede 
abrir la caja 2 (ya que fue 
cerrada con la llave del 


TES 


debido al hecho que este es un mensaje 
electrónico (por ejemplo, hay un check- 
sum). Puede también haber una llave de 
encriptación en el “authenticator” para dar 
privacidad a las comunicaciones entre el 
usuario y el servicio. 


Autenticación del servicio 

Aveces, el usuario puede requerir que el 
servicio se autentique. Para esto el servicio 
toma el timestamp (sello fecha-hora) del 
“authenticator” (caja 3), la pone en la caja 
4, junto con un papel que dice “Server Tal”. 
Lo cierra con la “session key” y lo devuelve 
al usuario. (Claramente debe agregar algo 


¿De dónde viene el nombre Kerberos? 


El nombre Kerberos viene de la mitología Griega; es un perro con 
tres cabezas que cuidaba las puertas de Hades. (Hades era un dios 
pero también la morada de los muertos) 


Kerberos o Cerberus! ¿Cuál es correcto? 


From: Tom Yu <tlyuGAMIT.EDU> 


servicio). En cambio, 
escribe en un papel la 
hora actual (timestamp) 


“Cerberus” es como se escribe en latín la palabra 
Griega “Kerberos”, y según el OED (Oxford English 
Dictionary) se pronuncia “serberus”, que está en 
desacuerdo con el griego donde la consonante inicial 
es una “k”. El proyecto Athenas del MIT eligió usar la 


y la pone en la caja 3. 

Cierra la caja con la 
“Session Key”. El envía 
ambas cajas (2 y 3) al 
servicio. 


escritura y pronunciación Griega. 


From: Jan Sacharuk <Jan.Sacharuk(QOcul.ca> 


Tom Yu tiene razón, Cerberus es en latín. Sin embar- 
go, el hecho que el OED dice que “c” se pronuncia 


como “s” es una afección inglesa. En latín, la letra “c” 


8. El servicio abre la 
caja 2 con su propia llave 
y extrae la “session key” 
y extrae el papel con la 
hora. Esto demuestra la 
identidad del usuario. 

El timestamp se pone en la caja 3 para 
prevenir que alguien copie la caja 2 (recor- 
dar que son mensajes digitales) y la use 
para simular ser el usuario un tiempo des- 
pués. Como los relojes no funcionan exac- 
tamente en sincronía perfecta se da un 
pequeño margen (5 minutos es lo típico) 
entre el tiempo estampado en el papel y el 
tiempo actual. Además, el servicio mantie- 
ne una lista de “authenticators” (caja 3) 
recientemente enviados de modo de ase- 
gurarse que no sean reenviados dentro de 
la ventana de 5 minutos. 

Se preguntarán cómo hace el servicio 
para abrir la caja 2 cuando no hay nadie 
“allí” para tipear el password. Lo que suce- 
de es que la llave del servicio no se deriva 
en un password. Sino que se genera alea- 
toriamente y es luego guardada en un 
archivo especial llamado “service key file”. 
Se asume que este archivo es seguro, de 
modo que nadie puede copiarlo y puede 
simular ser el usuario legítimo. 

En lenguaje Kerberos, la caja 2 se llama 
“ticket” y la caja 3 el “authenticator”. En la 
realidad el authenticator contiene más 
información que lo que dijimos más arriba. 
Parte de esta información es necesaria 


es siempre dura. Así que Cerberus es pronunciado 


“y 


“Ker-ber-ous”. La pronunciación de la letra “u” es tam- 
bién un poco diferente, estando entre “us” y “ous”. 


al timestamp; sino devolvería la caja 3). 


El Ticket Granting Server (TGS) 
(Servidor que otorga tickets) 

Hay un problema delicado con el inter- 
cambio que hemos descrito anteriormente. 
Se usa cada vez que el usuario quiere con- 
tactar un servicio. 

Pero, notemos que realizado así se 
deberá entrar el password (abrir caja 1 con 
la llave) cada vez. La solución obvia a esto 
es cachear (guardar en memoria o disco) 
la llave derivada de la password. Pero ese 
cacheo es peligroso. Con una copia de esa 
llave, un atacante podría simular ser el 
usuario en cualquier momento (hasta que 
se cambie el password por supuesto). 

Kerberos resuelve este problema intro- 
duciendo un nuevo agente, llamado “Ticket 
Granting Server” (TGS). El TGS es lógica- 
mente distinto al AS, aunque ambos pue- 
den residir en la misma máquina. Muchas 
veces se les refiere colectivamente como 
KDC (Key Destribution Center, Centro de 
distribución de llaves) tal como lo llamaron 
originalmente Needham y Schroeder. La 
función del TGS es como sigue: Antes de 
acceder a un servicio regular, el usuario 
requiere un ticket para contactar al > 
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TGS, tal como si fuese otro servicio regu- 
lar. Este ticket se llama el “Ticket Granting 
Ticket (TGT". 

Después de recibir el TGT, cada vez que 
un usuario desea contactar un servicio, 
requiere un ticket no al AS, sino al TGS. 
Aún más, la respuesta está encriptada, no 
con la llave secreta del usuario, sino con la 
“session key” que proveyó el AS para usar 
con el TGS. Dentro de esa respuesta está 
la nueva “session key” para usar con el 
servicio regular. 

El resto del intercambio ahora continúa 
como fue descrito anteriormente. 

Es parecido a lo que sucede cuando uno 
visita ciertas empresas. A la entrada uno 
muestra su documento de modo de obte- 
ner una tarjeta de “visitante”. Ahora cuando 
se desea entrar a diferentes secciones de 
la empresa, en lugar de mostrar el docu- 
mento una y otra vez (que puede ser roba- 
do o se puede caer y perder) uno muestra 


Diseñando un sistema de autenticación: un diálogo 


en 4 escenas 


el ID de visitante, que además es solo váli- 
do por corto tiempo. Si fuese robado, uno 
lo podría invalidar y obtener otro 
rápida y fácilmente algo que no 
sucedería con el documento 
de identidad. 

Aclaremos que hay una 
diferencia en la analogía 
anterior. El ministerio del 
interior nos emite el 
documento de identidad Cu : 
y la empresa el ID de visi- 
tante. Estas son entidades 
separadas física y lógica- 
mente. Por otro lado, en el 
intercambio del TGT, el AS y TGS 
son lógicamente distintos pero usual- 
mente físicamente idénticos (en el mismo 
proceso). 

La ventaja que esto nos da es que mien- 
tras los password permanecen válidos por 
varios meses, el TGT es bueno por un 
periodo corto, típi- 
camente ocho 
horas. Después 
de esto el TGT no 


Abstract del papel “diseñando un sistema de autenticación: un diálo- 
go en 4 escenas”. Es un artículo introductorio a Kerberos, presentado 
como una obra de teatro en cuatro escenas. Brillante. Lo recomenda- 
mos para quien desee comprender Kerberos de un modo divertido. 


Este diálogo provee una narración ficticia del diseño de un sistema de 
autenticación llamado “Charon”. A medida que progresa el diálogo, los per- 
sonajes Athena y Eurípides descubren los problemas de seguridad inheren- 
tes a un entorno de redes abierto. Cada problema debe ser abordado en el 
diseño de Charon, y el diseño evoluciona de acuerdo a esto. Athena y 
Eurípides no completan su trabajo hasta que el diálogo se cierra. 


Cuando terminan el diseño del sistema, Athena cambia el nombre del siste- 
ma a”Kerberos”. Este nombre coincide por mera casualidad con el sistema 
de autenticación que fue diseñado e implementado en el MIT bajo el nom- 
bre de proyecto”Athena”. El sistema “Kerberos” de este diálogo guarda gran 
similitud con el sistema descrito en Kerberos: An Authentication Service for 


puede ser usado 
por nadie: ni el 
usuario ni un ata- 
cante. 

El termino “cre- 
dentials” es usado 
en literatura de 
Kerberos en refe- 
rencia al ticket y 
“session key” en 
conjunto. Sin 
embargo a veces 
encotrará los ter- 
minos “ticket 
cache” y “creden- 


tials cache” usa- 


Open Network Systems presentado en el Winter USENIX 1988, en Dallas, 


Texas. 


dos en forma 
indistinta. 


Se puede encontrar en: <http://web.mit.edu/kerberos/www/dialogue.html> 


Kerberos Security en Windows 
2000-2003 


Cuando se trata de seguridad, Windows (a par- 
tir de Win2K) ofrece muchas mejoras sobre 
Windows NT. 


Probablemente, el avance más grande ha esta- 
do en el protocolo primario de autenticación del 
Sistema Operativo. NT LAN Manager (NTLM) 
ha sido el protocolo primario de autenticación 
para todas las versiones de NT. Win2K soporta 
los protocolos de autenticación NTLM y Secure 
Socket  Layer/Transport Layer Security 
(SSL/TLS). Pero el protocolo primario de auten- 
ticación de Win2K es Kerberos 5. 

Kerberos consiste en varios sub-protocolos y 
puede funcionar a través de dominios. El centro 
de distribución de claves (Key Distribution 
Center - KDC), el servicio de autenticación de 
Kerberos, funciona como servicio en cada con- 
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Autenticación 


trolador de dominio (Domain Controler) en 
Active Directory. 


El modelo de seguridad de Kerberos de Win2K 
tiene varias ventajas sobre los anteriores proto- 
colos de autenticación, incluyendo: 


>>Relaciones de confianza transitiva para la 
autenticación entre dominios. 

>>Autenticación eficiente 

>>Autenticación mutua de cliente y servidor 
>>Autenticación delegada. 


Kerberos representa un cambio importante en 
la manera en que un SO autentica a clientes en 
una red de Windows. La interoperabilidad del 
Kerberos deja que Windows autentique a clien- 
tes no-Microsoft de otras plataformas (e.g., 
UNIX), mientras los clientes implementan 
Kerberos 5. Es sorprendente lo que un perro 
de tres cabezas puede hacer. 


entre Realms (reinos) 

Hasta ahora, hemos considerado 
el caso donde hay un solo AS 
y un solo TGS, que pue- 
den o no estar en la 
misma máquina. 

Mientras que el 
número de solicitu- 
des sea pequeño no 


existe problema. 
Pero cuando las 
redes crecen, el 


número de pedidos 
también y el AS/TGS 
se vuelve un cuello de 
botella en el proceso de 
autenticación. En otras palabras 
este sistema “NO escalea” (usaremos esta 
palabra como traducción del concepto en 
ingles “does not scale”), y esto es muy 
malo para la idea de un sistema distribuido 
como Kerberos. 

Por tanto es a veces conveniente dividir 
a la red en “realms” (reinos). Esta división 
muchas veces se hace basada en divisio- 
nes de organización de las empresas, aun- 
que no es necesario que así sea. Cada 
“realm” tiene su propio AS y TGS. 

Para permitir  autenticaciones entre 
“realms”, esto es, permitir a usuarios de un 
“realm” acceder a servicios en otro, es 
necesario que el “realm” del usuario se 
registre en un “TGS remoto” (RTGS, remo- 
te TGS) en el “realm” del servicio. 

Notar que cuando el TGS fue agregado, 
un intercambio adicional fue agregado al 
protocolo. Aquí necesitaremos otro inter- 
cambio más: primero el usuario contacta al 
AS para acceder al TGS. Luego contacta al 
TGS para acceder al RTGS. Finalmente, el 
usuario contacta al RTGS para poder acce- 
der al servicio deseado. 

En realidad esto puede ser peor. En el 
caso de existir muchos “realms” es muy 
ineficiente registrar cada “realm” en todos 
los otros. En cambio se establece una 
jerarquia de “realms” de modo que para 
acceder a un servicio en otro “realm”, 
puede ser necesario contactar el RTGS en 
uno o mas “realms” intermedios. Los nom- 
bres de cada “realm” se registran en el tic- 
ket. 


Cómo usar Kerberos 

Kerberos es normalmente una infaes- 
tructura que subyace ya preparada en los 
servicios (se dicen Kerberizados). Por 
ejemplo Windows 2000 lo utiliza en reem- 
plazo de NTLM (LAN manager) para 
autenticaciones bajo Active Directory (ver 
nota aparte). Para el usuario por tanto es 
transparente: él sólo entra su UID y pass- 
word. 

Si alguien desea conocer más detalles 
los invitamos a leer el artículo de Brian 


Tung (www. > 


www.isi.edu/-brian/security/kerberos.htm). 
Allí podrá entender los pasos que deberá 
realizar un administrador unix para confi- d 


gurar al AS, TGS, registrar los “principals” 
en el AS (usuarios y servicios). Y como 
además deberá kerberizar los servicios 
(aplicaciones) de modo de utilizarlas con 
autenticación Kerberos. 


Excelente Bilbiogratía sobre kerberos 


Si Ud es Nuevo en Kerberos recomendamos: 


>> Bill Bryant, "Designing an Authentication System: A Dialogue in Four Scenes." 
<http://web.mit.edu/kerberos/www/dialogue.html> 

>> Jeffrey |. Schiller, "Secure Distributed Computing", Scientific American, November 1994, pp 
2, 

>> J. G. Steiner, B. Clifford Neuman, and J.!. Schiller, "Kerberos: An Authentication Service for 
Open Network Systems". <ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.PS> 

>> Brian Tung, "The Moron's Guide to Kerberos" 
<http://www.isi.edu/=brian/security/kerberos.html> 

>>La página web de Kerberos de MIT: <http://web.mit.edu/kerberos/www/> tiene muchos links 
que apuntan a recursos sobre Kerberos. Uno de los mejore tutoriales para Kerberos es el artícu- 
lo de Jim Rowe, "How To Kerberize Your Site"(Como Kerberizar su sitio), que está disponible en: 
<http://www.y12.doe.gov/=jar/HowToKerb.html> 

Hay también un RFC de Kerberos 5: RFC 1510, disponible en: 
<http://www.ietf.org/rfc/rfc1510.txt> 


Qué encriptación utiliza Kerberos? 

En su versión 4 requería el uso de DES 
(Data Encryption Standard). 

En su versión 5 se indica con un identi- 
ficador (que dice el tipo de cifrado a utili- 
zar). 

Entonces se puede usar cualquier técni- 
ca de encriptación (cifrado). 
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A mediados de abril del 2004, y tras la lle- 
gada de su versión final, la 2.06 junto a 
novedosas implementaciones como 
KLIPS para kernel 2.6, el proyecto 
FreeS/WAN fue declarado finalmente por 
terminado. El anuncio final dejo sorprendi- 
dos a quienes por aquellos tiempos tenían 
O actualmente tienen corriendo alguna de 
sus versiones, sobre todo por lo que signi- 
fica la finalidad del soporte y sus futuras 
actualizaciones. Como sabemos, la noticia 
no fue de las mejores que se podrían cono- 
cer en el ambiente, pero tendría su parte 
agradable, y es que si bien un gran proyec- 
to finalizaba, otros, derivados de este y con 
notables mejoras ya habían nacido... 

Decir que el mundo IPSec (IP Security) 
siempre ha sido complicado para aquellos 
que se inician o tienen corta experiencia en 
la tecnología de la información no es nin- 
guna novedad (ver IPsec, un protocolo 
complejo...), sobre todo para los que nece- 
sitan realizar implementaciones sobre pla- 
taforma Linux en Kernel 2.0, 2,2 ó mismo 
sobre 2.4., lo novedoso de esta cuestión 
es que tras la llegada del Kernel 2.6 junto 
a un nuevo lPSec Kernel Stack, este 
mundo no ha dejado de ser menos com- 
plejo que el anterior, esencialmente por la 
confusión que aportan las nuevas cajas de 
herramientas del entorno de usuario 
(Userland Toolkits) a aquellos que por 
algún motivo u otro se vieron obligados a 


migrar o implementar esta nueva tecnolo- 
gía para aprovechar las ventajas que ésta 
incorpora incluyendo  “Opportunistic 
Encryption”, “NAT-Traversal”, “certificate 
handling” y los mayores desarrollos recien- 
tes en IPsec para Linux. 

Si bien existen alternativas para la crea- 
ción de Redes Privadas Virtuales en Linux 
como vpnd, resultaba ¡inevitable hasta 
hace poco tiempo no pensar en 
FreeS/WAN como la herramienta por exce- 
lencia para la creación de dichas redes 
encriptadas. Tras la llegada de esta gran 
utilidad, la posibilidad de implementación 
de una VPN se habría simplificado notable- 
mente, no solo por la gran cantidad de 
información alojada en su sitio web 
(www.freeswan.org) sino que principal- 
mente por la simplicidad en sus archivos 
de configuración, por ello en la actualidad, 
el mayor porcentaje de implementaciones 
VPN's realizadas en Linux se encuentran 
aún montadas sobre FreeS/WAN y sus 
derivados: OpenSwan y StrongSwan. 


(CESCII SITSTETAATES 


Allá por el año 1997, John Gilmore 
(empleado de Sun) junto a uno de los fun- 
dadores de Cygnus comenzaron a trabajar 
sobre un proyecto que desembocaría en 
corto lapso en el desarrollo de uno de los 
software más difundidos y usados para 
autenticar y transmitir datos encriptados de 
manera segura entre pares: FreeS/WAN 
(Free, Secure Wide Area Network). Este 
proyecto comprendía la creación de un 
stack lPsec (Internet Protocol Security) 
nada más y nada menos que para el siste- 
ma operativo que a la postre se convertiría 
en el más confiable para realizar dicha 
tarea: Linux. El proyecto se fue obstaculi- 
zando por diversos motivos relacionados 
principalmente a la no aceptación de nin- 
gún tipo de código estadounidense ni tam- 
poco el aporte de parches emitidos por sus 
ciudadanos debido a las regulaciones de 
exportación criptográficas de los E.E.U.U. 
en ese entonces. Sin embargo el pro- 


openswan-2.1.4 


Versión FreeS/WAN freeswan-2.04 freeswan-2.04 
Parche X.509 x509-1.6.3 x509-1.4.8 
NAT-Traversal Linux 2.4 / 2.6 Linux 2.4 / 2.6 
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yecto llego a buen puerto brindando un 
más que seguro y sobre todo estable Stack 
IPsec para veriones de Kernel 2.0, 2.2, 2.4 
y ahora 2.6. 

En Septiembre del 2000, Ken Bantoft, 
actual Business Development de la empre- 
sa Xelerance Corporation quien es muy 
conocido en el ambiente por su gran pre- 
disposición y espíritu de ayuda brindada a 
través de las listas de correo más difundi- 
das sobre el tema, separó FreeS/WAN 
versión 1.99 en el árbol “Super 
FreeS/WAN” hoy “OpenSwan” migrando 
además los parches más importantes y 
conocidos (incluyendo parches de conno- 
tación política como varios realizados por 
ciudadanos de los EEUU). Este gran 
paquete lIPsec rápidamente se convirtió en 
el más popular para Kernels 2.2 y 2.4 deri- 
vando además en varios otros proyectos 
como WOLK (Working Overloaded Linux 
Kernel), LEAF/bering (Linux Embedded 
Appliance Firewall) y en varias distribucio- 
nes comerciales como Astaro, 
ImageStream y NIT entre otros. 

Tras la llegada del Kernel 2.5, no quedo 
otra alternativa que generar un nuevo 
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stack IPsec el cual en definitiva debería 
correr eficientemente bajo la versión 2.6. 
La posta del desarrollo del nuevo stack fué 
tomada por David Miller de Red Hat Inc. 
quien, junto a otros, se encontraba históri- 
camente en conflicto con el proyecto 


IPSEC, un protocolo complejo... 


=181xi 


diferente. Pero como es de público conoci- 
miento, para aquel entonces, estos ciuda- 
danos no podrían exportar código cripto- 
gráfico, por lo que se convertiría en un pro- 
blema muy serio, no obstante la mayoría 
era consciente de esto por lo que supusie- 


Como se puede apreciar en el gráfico, IPsec no es un simple protocolo, este requiere interacción 
entre partes del kernel, como así también Userland Toolkits para lograr que trabaje de manera 
segura. La porción de entorno de usuario maneja la configuración de archivos, llaves/contraseñas 
y un demonio de comunicación entre pares llamado IKE (Internet Key Exchange). Este demonio 
negocia con la base de datos de políticas de seguridad (SPD) mediante algún mecanismo prede- 
finido, como por ejemplo llamando a la herramienta setkey directamente o bien vía Kernel socket 


(*swan). 


La SPD contiene todas las políticas de seguridad, las cuales dictaminan que tráfico es encripta- 
do/desencriptado mediante que llaves, y hacia donde es enviado. La Base de Asociación de 
Seguridad (SAD) contiene todas las SA's activas. En el kernel 2.4, el demonio IKE maneja la tabla 
de ruteo instalando las rutas necesarias mediante el comando route, o iproute. En kernel 2.6 esto 
no es requerido ya que el SPD se encuentra directamente en línea en la trayectoria que toman los 


paquetes a través del stack de red. 


FreeS/WAN ya que su opinión se basada 
en la no aceptación de un código que no 
pueda ser mantenido por los ciudadanos 
de los E.E.U.U. por ello, él necesitó algo 


ron que David no podría escribir el código, 
ni podría tampoco mantenerlo. 

El momento crucial llego de la mano del 

caso Bernstein (financiado en parte por 

Juan Gilmore y varios otros 

vía ambos el FSF, y el EFF) 

el cual no se caracterizo por 

ser un triunfo (Ver Caso 

Bernstein). El resultado es el 

actual: Sistema 

“Notifíquenos” (notify us 

system) del BXA (principal 

ente regulador responsable 

de los controles de exporta- 

ción en encriptación, y res- 

ponsable de la emisión de 

licencias de exportación) en 

el cual se debería informar la 

ubicación en internet, por 

ejemplo mediante dirección 

IP, del código fuente en cues- 

tión o bien entregar una 

copia al momento de la 

exportación. Muchos desa- 

rrolladores de USA conside- 

ran al sistema como un triun- 

fo, sin embargo, Gilmore 

piensa absolutamente lo con- 

trario. Lo cierto es que el 

Fi tiempo dirá, sobre todo por la 

r gran cantidad de software 


F abierto conteniendo código 
F criptográfico exportado dia- 
Fl riamente. 
Le Más tarde, David Miller 


junto a Derek Atkins y otros 
eligieron integrar varias pie- 
zas del stack USAGI 
(UniverSAl play Ground for 
IPv6) lPsec (ya que se 
encontraba funcionando 
correctamente en lPv6) y 
*BSD's Kame + Racoon 
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codebase para Linux liberando a posteriori 
las userland toolkits. Estas herramientas 
del entorno usuario ahora conocidas como 
ipsec-tools contienen: por un lado las 
librerías ipsec mientras que por el otro las 
herramientas: setkey y racoon (La prime- 
ra: para manipulación del Security Policy 
Database (SPD) y del Security Association 
Database (SAD) mientras que la segunda 
para la negociación automática de llaves 
en conexiones IPSEC mediante el 
Demonio Internet Key Exchange (IKE)) 

La incursión de las Toolkits alcanzó al pro- 
yecto FreeS/WAN, que se encontraba para 
ese entonces cercano al final de sus días, 
momento que no se hizo esperar demasia- 
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do, cuando a principios de abril del 2004, 
su anunciado final se hizo efectivo tras la 
liberación de una última versión: la 2.06, 
noticia que pegó fuerte a aquellos adminis- 
tradores de sistemas que se encontraban 
con la discontinuidad de un producto que 
les proporcionaba confiabilidad y robustez 
en las seguras conexiones net-to-net a su 
cargo. Lo cierto es que las diferencias polí- 
ticas que separaron a varios de los desa- 
rrolladores de FreeS/WAN sentenciaron 
poco a poco la vida del proyecto y si bien 
la decisión se prolongó, parecía no tener 
vuelta atrás, lo que permitió la libertad de 
toma de decisión con anticipación a migrar 
a otros desarrollos o bien realizar las nue- 
vas implementaciones con proyectos 
superiores, entre los que se encuen- 
tran dos nuevos nacidos del derivado 
de su antecesor (FreeS/WAN) y 
basados en su código: OpenSwan 
(del mismo creador del Super 
Frees/Wan, Ken Bantoft) y 
StrongSwan, ambos compartiendo 
la misma herencia y con funcionalida- 
des y características similares. Esta 
colección de stacks de lPsec que uti- 
lizan Pluto como Demonio IKE son 
actualmente referenciadas como 
*swan. 
Las principales características y 
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comparativa de las versiones más recien- 
tes de estas soluciones IPsec OpenSource 
para Linux pueden verse en la tabla. 

En conclusión, FreeS/WAN a revoluciona- 
do el mundo de las VPN's en Linux demos- 
trando a lo largo de su ciclo de vida que es 
factible implementar de manera más que 
eficiente el protocolo de seguridad IPSec 
en la mencionada plataforma, dejando un 
campo de amplio espectro a los desarrolla- 
dores de sus derivados y permitiendo el 
crecimiento de estos en base a un produc- 
to que ganó la confianza tanto de peque- 
ñas como grandes corporaciones, pero 
sobre todo de aquellos consultores/imple- 
mentadores que necesitaron generar una 
vía de comunicación segura entre recursos 
en Linux. 


Martín Sturm 
MCSE/MCSA 2000/2003,LPIC- 
L2, Comptia Linux+ Prof. 


Daniel Bernstein poseía importantes ideas sobre criptografía, el arte y ciencia de mantener los 
mensajes seguros, que él deseaba compartir. En detalle, él deseaba publicar sus ideas e inves- 
tigación en un foro de discusión en Internet, pero el gobierno de los Estados Unidos le prohibió 
la exportación de la fuente que describe el sistema de cifrado que él desarrolló, llamado Snuffle, 
sin registrarse como un distribuidor de armas y obtener una licencia emitida por el State 
Department. El gobierno sostenía que estos Ítems se encuentran enumerados en el Listado de 
municiones de los EEUU y cubieros por International Traffic in Arms Regulations. Pero Bernstein 
puso en jaque al Gobierno asegurando que “restringiendo el desarrollo de herramientas que per- 
miten anonimato y aislamiento” pone en riesgo las comunicaciones de todos los ciudadanos. 

El archivo completo del caso legal: “Crypto - Bernstein v. US Dept. of Justice” junto a diversos 
materiales como archivos con las cartas originales intercambiadas entre Bernstein y varios fun- 
| cionarios del estado, copia de documentos jurídicos del caso y otros pueden ser consultado en 

- ! tel siguiente acceso: http://www.eff.org/Privacy/ITAR_export/Bernstein_case/ 
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Elementos básicos 
de criptografía |! 


Si se quiere ahondar en temas de segu- 

ridad informática se deberá tener un claro 
entendimiento de criptografía. 
Los artículos “Elementos de Criptografía | 
(desarrollado en “NEX IT Specialist +10” 
de AGOSTO 2004) y ll deben ser leídos en 
el siguiente espíritu: Los puntos en (1-5 ) 
dan el basamento, los ladrillos sobre lo que 
construimos dos herramienta básicas: 
Firma digital y Key Exchange (6 y 7). En 8 
aprendemos otro elemento clave: el certifi- 
cado y los CA (Certificate Authority). En 9 y 
10 entenderemos que se entiende por PKI 
(dónde armamos el mecano con las piezas 
anteriores) y daremos algunos ejemplos de 
donde se usa todo esto. PGP en (10) se 
incluye para evitar confusiones. 


MUY IMPORTANTE: 
No confunda ENCRIPTACION de llave 
pública (también llamada encriptación 


asimétrica) con INFRESTRUCTURA de 
llave pública  (PKI, Public Key 
Infrastructure). 


6. Firma digital: combinar 
encriptación asimétrica 
con hash 


Se puede utilizar encriptación asi- 
métrica junto con algoritmos hash 
para crear una firma digital. Una 
firma digital actúa como una compro- 
bación de integridad de datos y pro- 
porciona una prueba de posesión de 
la llave privada (autenticación). 


Los pasos para la firma digital (autenti- 
cación e integridad de datos) son los 
siguientes: 


¡) El remitente aplica un algoritmo 
hash a los datos y genera un valor 
hash (a veces se lo llama un “messa- 
ge digest”). 


li) Con su llave privada, el remitente 
encripta (firma) el valor hash. Al valor 
hash encriptado se lo denomina: “la 
firma digital del documento”. Es, infor- 
mación basada en el documento y la 
llave privada de quien firma. 


li) A continuación, el remitente envía 
al destinatario los datos, la firma digi- 
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FUNDAMENTOS DE SEGURIDAD 
INFORMATICA, PASO A PASO 


Paso 1: Elementos de Criptografía | 
(ver “NEX IT Specialist + 10 pag. 11) 


1. ¿Qué es criptografía? 

2. ¿Qué es un un algoritmo? 

3. ¿Qué es un hash? 

4. Encriptación simétrica: una sola llave 
a). Algoritmos de Encriptación simétrica 


tal y el certificado del remiten- 
te (en el certificado se envía 
la llave pública de quien 
firmó). 


5. Encriptación asimétrica: llave-pública y llave-pri- 
vada 
a). Algoritmos de Encriptación asimétrica 


iv) El destinatario aplica el 
algoritmo hash a los datos 
recibidos y genera un valor 
hash. 


Paso 2: Elementos de Criptografía Il 


6. Firma digital 

7. Envio de llaves secretas (Key Exchange) 
8. Certificados: X.509. 

9. PKI (Public Key Infrastructure) 

10. ¿Dónde se usa todo esto? 

11. PGP (Pretty Good Privacy) 


v) El destinatario utiliza la 
llave pública del firmante 
para desencriptar el hash 
encriptado qie le enviaron. 
Así, compara los hashes para 
comprobar la firma. Esta 
comparación de 
hashes 


hash de datos también reduce el tamaño 
de los datos que se van a firmar a una lon- 
gitud fija y, por tanto, acelera el proceso de 
firma. Cuando se crea o se comprueba la 
firma, el algoritmo de llaves públicas tiene 
que transformar únicamente el valor de 
hash (128 ó 160 bits de datos). 


7. Intercambio de llaves 
(Key Exchange): combinar 
encriptación — simétrica 
con encriptación asimé- 
trica. 


Los algoritmos de llaves simétricas 
son excelentes para encriptar datos 
de manera rápida y segura. Sin 
embargo, su punto débil reside en 
que el remitente y el destinatario 
deben intercambiar una llave secreta 
antes de intercambiar datos. La combi- 
nación de algoritmos simétricos para 
Vencriptar datos con algoritmos de encrip- 
tación asimétrica con el fin de intercambiar 
la llave secreta resulta ser una solución 
rápida y escalable para el envío de datos 
encriptados. 


o garan- 

tiza que los 
datos no fueron modificados (integri- 
dad) y autentica a quién firmó (auten- 
ticación). 


Los pasos involucrados en el intercambio 
de llaves basado en encriptación asimétri- 
ca son los siguientes: 


1) El remitente obtiene la llave pública 
Este proceso es transparente para el del destinatario. 
usuario. 
li) El remitente crea una llave secreta 
Los algoritmos hash pueden procesar los aleatoria. 
datos más deprisa que los algoritmos de 


encriptación asimétrica. La codificación lii) El remitente utiliza la llave secre- > 
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ta con un algoritmo simétrico para 
convertir el texto sin formato en texto 
cifrado. 


iv) El remitente utiliza la llave pública 
del destinatario para encriptar la llave 
secreta. 


v) El remitente envía al destinatario el 
texto encriptado y la llave secreta 
encriptada. 


vi) Con su llave privada, el destinatario 
convierte la llave secreta encriptada 
en texto sin formato. 


vii) Con la llave secreta de 
texto sin formato, el destina- 
tario convierte el texto 
encriptado en texto sin for- 


Hed + 


3) OperstP.org 


Fin ER Vew Parortes 


(que posee la llave privada asociada) ? 


Un certificado (llamado a veces public- 
key certificate) es una declaración firmada 
digitalmente que vincula el valor de una 
llave pública a la identidad del “entity” (per- 
sona, dispositivo o servicio) que posee la 
llave privada correspondiente. Quien firma 
digitalmente los certificados se llama CA, 
Certificate Authority. Al firmar el certificado, 
la entidad emisora de certificados (CA), 
atestigua que la llave privada asociada a la 
llave pública del certificado está en pose- 
sión del “entity” indicado en el certificado. 


SINTESIS: un certificado lleva una llave 
pública y está firmado digitalmente por 
“alguien” llamado Certificate Authority. 
TODOS deberemos confiar (trust ) en el 
CA. 


Un certificado digital no es un certificado 
físico con un borde y un nombre con letras 
llamativas. Es un conjunto de bytes que 
contienen como mínimo: 


erro 
DI Qro agree e Y 
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mato. 


8. Certificado y CA 
(Certificate Authority). 


La llave pública se difunde a 
cualquiera que la desee tener. 
La llave privada está en mi 
posesión y no la difundo. La 
pregunta es: ¿cómo difundo la 
llave pública y cómo se garan- 
tiza que esa llave pública perte- 
nece a quien dice ser su dueño 
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1) El nombre de “qué” o “quién” (the entity, 
“la entidad”) está descripto en el certifica- 
do. Puede ser una persona (en el caso de 
e-mails), un servidor (en el caso de https 
usando SSL). 


ii) La llave pública de “la entidad”. 
iii) Cuándo expira el certificado. 


iv) Qué tipo de certificado es. Hay certifica- 
dos para hacer e-mail seguro, certificados 
para identificar servidores para lPsec, cer- 
tificados para hacer seguros a los web ser- 
vers via SSL. 


v) Quién emitió el certificado. 


vi) Otro tipo de información que varía con 
el tipo de certificado. 


Esto es lo que hay en un certificado. Pero 
¿Qué es un certificado?. Es una llave públi- 
ca e información que identifica a “la enti- 
dad” (persona, server o ....) detallados 
anteriormente y todo esto firmado digi- 
talmente por alguien más. La idea es » 


Working together! ? » 
to protect your privacy 
-— . $ 
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por Phil Zimmermann en 1991. 
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que cuando paso mi llave pública, no la 
paso así nomás sino que la paso firmada 
digitalmente por alguien (un tercero) en 
quien “la entidad” y a quien se la paso con- 
fían. 


Aclaremos partiendo de cero: 


1. Genero un par de llaves pública /priva- 
da. ¿Pero quién creería que la llave públi- 
ca que disemino es mía si solo yo tengo la 
privada asociada?. 


Aquí es donde aparece el certificado. 


2. Contacto una empresa que otorgue cer- 
tificados digitales, una  Certrificate 


PKT en Windows 2000-2003 
Server. 


Muy probablemente UD sabrá o habrá escu- 
chado que Microsoft ha incluido componentes 
de la infraestructura PKI en sus sistemas opera- 
tivos desde Windows 2000. La pregunta es qué 
puede PKI (public Key Infrastructure) hacer por 
UD y en qué y cómo lo utiliza con Windows 
2 0 0 3 
Recordemos que: 


1. PKI es una manera de autenticar basada en 
estándares e independiente de cualquier siste- 
ma operativo. 


2. Aunque tiene gran potencialidad, PKI no es 
usado extensivamente en los sistemas operati- 
vos de Windows Server, salvo en algunas pocas 
aplicaciones. 


Para contestar “¿qué puede hacer PKI para 
uno?”, entendamos que: 


i) un “certificado” es básicamente un tipo de tar- 
jeta de identificación. Un pasaporte que prueba 
que uno es quien dice ser con un cierto grado 
certeza (en realidad que la llave pública asocia- 
da al certificado es de la “entidad” descrita en 
él). Pero no solo sirven para identificar perso- 
nas. Sirven para identificar servidores y cual- 
quier otra cosa que necesite probar su identi- 
dad. 


li) PKI es una infraestructura para administrar el 


manejo de los certificados. 
La idea de “cerificados” no es una idea de 
Microsoft. Las ideas sobre PKI han sido desa- 
rrolladas desde hace muchos años en el mundo 
Unix. Esto es muy bueno ya que es una infraes- 
tructura ya muy bien probada y Microsoft se ha 
basado en las últimas versiones de tecnologías 
ya muy bien comprendidas. Por ejemplo el for- 
mato de los certificados tomado por Microsoft 
es X.509. 


PKI en Windows 2003 Server es aún algo en 
progreso. Si uno quisiese PKI-izar todo en 
Windows 2000-2003 sería imposible. Uno, por 
ejemplo, no puede detener que los Domain 
Controlers se autentiquen vía Kerberos (ver arti- 
culo en “NEX IT Specialist”11, pag. 4 sobre 
autenticación Kerberos) y comenzar a utilizar 
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Authority, CA). Ejemplos: VeriSign, Thawte 
O Baltimore. Les doy mi llave pública y les 
pido un certificado. Solo ellos pueden 
generar un certificado firmado por ellos. Ya 
que ellos tienen su llave privada. En gene- 
ral estas compañias cobran por el servicio. 
Puedo yo en mi empresa tener un CA y dar 
mis certificados que serán creídos por 
quien confíe en mi CA. 


3. La empresa certificadora verifica quién 
soy yo y emitirá el certificado y lo firmará 
digitalmente (es decir lo hasheará y firma- 
rá digitalmente con su llave privada). 


4. Me lo enviarán y yo lo usaré para difun- 


PKI. Sí podría setear a sus usuarios para utilizar 
certificados usando “smart cards”. A continua- 
ción describimos qué cosas son posibles de uti- 
lizar bajo Windows 2003 que usen PKI: 


>> Crear y usar certificados para permitir 
que dos sistemas de diferentes dominios 
usen IPSec (leer un excelente artículo de IPSec 
en NEX1). Como sabemos, |PSec es una exce- 
lente manera de autenticar y/o encriptar comu- 
nicaciones IP entre dos sistemas (dos o más) a 
través de Internet. Pero esos sistemas necesi- 
tan ser capaces de autenticarse y Microsoft 
ofrece tres opciones: ambos lados comparten 
una clave secreta (un password), ambos se 
autentican vía Kerberos (no está mal pero esto 
funciona sólo si los sistemas pertenecen al 
mismo forest (bosque). O vía certificados. Usar 
certificados es la única manera en que dos sis- 
temas que no son miembros del mismo bosque 
pueden hacerlo vía IPSec. 


>> Asegurar el acceso Web. Una de las mane- 
ras en que uno puede controlar el acceso a los 
sitios Web es vía certificados. 


>> Crear y usar certificados para asegurar el 
uso de e-mail dentro de una organización. 
Uno puede crear certificados para usuarios de 
e-mail que estos pueden usar bien para auten- 
ticarse o encriptar las comunicación vía e-mail. 
El único problema es que ambos interlocutores 
deberán aceptar como válidos los certificados 
creados por “alguien”. Por supuesto esto es 
posible si hablamos de una o dos compañías 
que son socias. Pero no funcionaría para ase- 
gurar el e-mail al mundo. Para ello deberemos 
“confiar” (to trust) en una fuente única de certifi- 
cados otorgados por empresas como Thawte. 


>> Logons via smart cards: ¿Sirven entonces 
los certificados para logonearse? Esta es de 
algún modo la autenticación más común que 
realiza alguien para acceder a su cuenta. Por 
supuesto que es posible, pero ¿cómo entramos 
el “certificado”? En un logon “clásico” uno tipea 
el userlD de la cuenta (nex(Wnexweb.com.ar o 
nex) y un password asociado. Entrar además el 
certificado puede ser muy complejo ya que invo- 
lucra miles de bytes. Entonces uno podrá logo- 
nearse a una cuenta en un dominio con un cer- 
tificado sólo si éste está almacenado en algo 
similar a una tarjeta de crédito llamado “smart 
card”. Además, necesitamos que la máquina 


dir mi llave pública (por ejemplo, lo instala- 
ré en el software o server apropiado). 


Los certificados entonces, proporcionan 
un mecanismo para establecer una rela- 
ción entre una llave pública y la entidad 
que posee la llave privada correspondien- 
te. El formato más común de los certifica- 
dos utilizados actualmente es X.509. X.509 
no es la única forma de certificación. Por 
ejemplo, el correo electrónico seguro 
Pretty Good Privacy (PGP) se basa en una 
forma propia de certificados. 


9. Public Key Infrastructure 
(Infraestructura de llave > 


donde nos logoneamos tenga una lectora de 
“smart cards”. Y eso cuesta. 


>> Agentes de recuperacion de EFS (encrip- 
ted File system): El EFS de Microsoft nos per- 
mite elegir personas que pueden desencriptar 
nuestros archivos en el caso que uno no recuer- 
de el password por ejemplo. Uno designa nue- 
vos Recovery Agents (agentes de recuperación) 
vía el uso de certificados y PKI. 


>> Firmar programas: Como sabrá desde 
Windows 2000 es posible firmar un dado pro- 
grama, un programa de instalación de software 
o un driver. De este modo me aseguro el origen 
del programa o si ha sido testeado por los labo- 
ratorios de Microsoft. El firmado se hace vía cer- 
tificados. 


Como ya dijimos todo esto está en evolución. 
Y muy probablemente en un futuro cercano 
podremos llevar una smart card con un certifica- 
do personal. Supongamos que tenemos una 
cuenta en una red Novell, una en un forest de 
Active Directory de Microsoft y una cuenta de 
Amazon.com. PKI funcionaría de este modo: 
entregaríamos una copia de nuestro certificado 
al administrador de Novell otra al de AD, al de 
Amazon y cualquier otro donde tengamos una 
cuenta de usuario. Ellos harán una asociación 
entre ese certificado y la cuenta en su infraes- 
tructura (algo que se llama mapear un certifica- 
do a una cuenta). Desde ahí tendríamos un solo 
password de qué preocuparnos! 


pública) (PKI) 


¿Cómo monto la infrestructura de 
manejo y administración de certifica- 
dos? 


Respuesta: PKI. 


PKI nos detalla las directivas, los están- 
dares y el software que regulan o manipu- 
lan los certificados y las llaves públicas y 
privadas. En la práctica, PKI hace referen- 
cia a un sistema de certificados digitales, 
entidades emisoras de certificados (CA) y 
otras entidades de registro que comprue- 


ban y autentican la validez de cada parte 
implicada en una transacción electrónica. 


10.¿Dónde se usa todo esto? 


Todo lo descrito anteriormente es usado 
tanto en sistemas Unix como en el mundo 
Windows. 


Por ejemplo a continuación y a modo de 
ejemplo detallamos lo que puede hacerse 
con PKI en Windows 2003: 


a). Crear y usar certificados para permitir 
que dos sistemas se comuniquen usando 


Philip R. Zimmermann creador de PGP 


IPsec. Con PKI se pueden autenticar y/o 
encriptar la comunicación IP entre ellos. 


b). Permitir que mi web-browser acceda a 
un Web-server en forma segura, mante- 
niendo una comunicación encriptada (por 
ejemplo cuando envío mi número de tarje- 
ta de crédito usando SSL (Secure Socket 
Layer)). 


Cc). Crear y usar certificados para asegurar 
los e-mails. 


d). Logons usando smart-cards. 


» 


Philip R. Zimmermann es el creador de Pretty Good Privacy (PGP) (Privacidad Bastante Buena). Por haber hecho esto, fue blanco 
de una investigación criminal durante tres años. Esto porque el gobierno americano sostenía que las restricciones para exportación 
de software de criptografía había sido violado cuando PGP se distribuyó por todo el mundo seguido a su publicación como freeware 
en 1991. A pesar de su falta de recursos, falta de personal pago, falta de una empresa para respaldarlo y persecución gubernamen- 
tal, PGP así y todo se transformó en el software para encriptación de e-mails más popular del mundo. Luego que el gobierno retiro 
los cargos en 1996, Zimmeran fundó PGP Inc. La empresa fue luego adquirida por Network Associates Inc. (NAl) en Diciembre 1997. 


Lavalle 436 
Telefonos: 4328-0522/4824/9137 


E mail: lavalleta officeandco.com «E 


El permaneció como un Senior Fellow por tres años más. En 2002 PGP fue 


adquirida por una nueva empresa llamada PGP Corporation, donde 
Zimmerman ahora realiza tareas de consulta. En la actualidad realiza inde- 


pendientemente tareas de consultaría para una serie de empresas y organi- 
zaciones industriales en asuntos de criptografía. Es actualmente un Pl 
de Stanford Law School's Center for Internet and Society. 


Antes de fundar PGP Inc, Zimmerman era un ingeniero de software con más 
de 20 años de experiencia, especializándose en criptografía y seguridad de 
datos, comunicación de datos y sistemas embebidos en tiempo real. Su inte- 
rés en el lado político de la criptografía, nació de su pasado en asuntos rela- ¡. 


cionados con políticas militares. 


Ha recibido numerosos premios tanto técnicos como humanitarios por su tra- 


bajo pionero en criptografía. 


Zimmermann recibió su titulo de Licenciado en Ciencias de la computación 
de la Florida Altantic University en 1978. Es miembro de numerosas organi- 
zaciones: International Association of Cryptologic Research, la Association for Computing Machinery y la League for Programming 
Freedom. Es actualmente el chairman de OpenPGP Alliance y sirve en el Board of Directors for Computer Professionals for Social 


Responsibility, y en el 


Advisory Boards for 


Anonymizer.com, 


(mas info en http://www.philzimmermann.com) 
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Hush Communications, 


Veridis y  Qualys. 


CUSPIDE 


e). Agentes de recuperación de EFS 
(Encripted File System). 


f). Firmar programas. 
11. PGP, Pretty Good Privacy 


Pretty Good Privacy (PGP) es un paque- 
te de software desarrollado por R. 
Zimmermann que provee rutinas criptográ- 
ficas para e-mail y aplicaciones de almace- 
namiento de archivos. 


Lo que hizo Zimmerman es tomar crypto- 
sistemas ya existentes y protocolos cripto- 
gráficos y desarrolló un programa que 
puede correr en múltiples plataformas. 


Provee encriptación de mensajes, firmas 
digitales, compresión de datos y compatibi- 
lidad de e-mail. 


Los algoritmos que utiliza por default 
(especificados en el RFC 2440) son 
ElGamal y RSA para el transporte de llaves 
y triple-DES, IDEA y CAST5 para la encrip- 


Porqué el PKI de OpenPGP es 
mejor que el PKI de X.509. 


Philip Zimmermann 
27 Feb 2001 


En la mente de mucha gente, la frase “Public 
Key Infrastructure” se ha convertido en sinóni- 
mo de “Certificate Authority” (CA). Esto es por- 
que en el mundo X.509, el único PKI con que 
nos encontramos esta construido alrededor del 
CA. Matt Blaze hizo la siguiente observación: 
“los CA comerciales nos protegerán de cual- 
quiera al que ese CA se niegue a aceptarle 
dinero”. Estos CAs están “incluidos dentro” de la 
mayoría de los browsers, sin que el usuario 
pueda decidir de confiar en ellos o no. 


A lo largo de este artículo, nos referiremos a 
OpenPGP bajo el standard IETF en lugar de 
PGP, que es una implementación particular del 
Standard OpenPGP. 


Existe, una Public Key Infrastructure OpenPGP. 
Pero lo que llamamos una PKI en el mundo 
OpenPGP es en realidad la amalgama que 
surge de la suma total de todas las llaves en la 
población de usuarios, todas las firmas en todas 
esas llaves, las opiniones individuales de cada 
usuario de OpenPGP sobre a quién eligen 
como “introducers” confiables (“trusted introdu- 
cers”), todos los softwares clientes que corren el 
modelo de confianzas OpenPGP y realizan cál- 
culos sobre confianzas para cada usuario clien- 
te y los servidores de llaves que en forma fluida 
diseminan este conocimiento colectivo. 


PGP ha crecido por muchos años sin la necesi- 
dad de establecer un CA centralizado. Esto es 
porque OpenPGP usa un sistema de “trusted 
introducers”, que son equivalentes a un CA. 
OpenPGP permite a cualquiera firmar la llave 
pública de cualquier otro. Cuando Alice firma la 
llave de Bob, ella está “introduciendo” la llave 
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tación de mensajes. 


Las firmas digitales se 
consiguen utilizando 
DSA para firmar y SHA-1 
o MD5 para la computa- 
ción de los hashes de 
los mensajes. El pro- 
grama shareware ZIP es 
utilizado para comprimir 
mensajes para transmi- 
tirlos y almacenarlos. 


La compatibilidad con 
e-mail se logra con el 
uso de la conversión 
Radix-64. 


de Bob a cualquiera que confía en Alice. Si 
alguien confía en Alice para introducir llaves, 
entones Alice es una “trusted introducer” en la 
mente de ese observador. 


Si yo obtengo una llave que ha sido firmada por 
varios “introducers” y uno de ellos es Alice, y yo 
confio en Alice, entonces esa llave está certifi- 
cada por un “trusted introducer”. Puede estar fir- 
mada por otros “trusted introducers”, pero yo no 
confio en ellos, de modo que no son “trusted 
introducers” desde mi punto de vista. Es sufi- 
ciente que Alice haya firmado la llave ya que yo 
confío en Alice. 


Sería aun mejor si dentro de los varios “introdu- 
cers” de esa llave se incluyeran dos o más per- 
sonas que yo confiara. Si la llave está firmada 
por dos “trusted introducers”, entonces estaré 
más confiado en la certificación de esa llave, ya 
que es más improbable que una atacante pudie- 
ra engañar a dos “introducers” de mi confianza 
a firmar una llave “trucha”. Las personas pue- 
den ocasionalmente cometer errores y firmar la 
llave errada. OpenPGP tiene una arquitectura 
“fault tolerant” (a prueba de fallo) que me permi- 
te exigir que una llave esté firmada por dos 
“trusted introducers” para que sea considerada 
válida. Esto permite un grado aun mayor de 
confianza en que la llave pertenece a la perso- 
na nombrada en la llave. 


Por supuesto, un atacante inteligente podría 
engañar a dos o más “introducers” no muy 
sofisticados a firmar una llave pública “trucha”. 
Pero, eso no es importante en el modelo de 
confianzas de OpenPGP, ya que yo no confio en 
“introducers no sofisticados que pueden ser 
engañados muy fácilmente. Nadie debiera. Uno 
solo debe confiar en “introducers” honestos y 
sofisticados que entienden lo que significa fir- 
mar una llave, y ejercitarán seriedad en verificar 
la identidad del poseedor de la llave antes de fir- 
mar la llave en cuestión. 


Si sólo “introducers” no confiables firman llaves 
“truchas” nadie será engañado en el modelo de 
confianzas de PGP. Uno debe decirle al softwa- 
re OPenPGP cliente que “introducers” son de 
confianza. El software cliente usará ese conoci- 
miento para calcular si una llave está certificada 
propiamente por un “introducer” confiable 
mirando las firmas de uno de los “introducers” 
de confianza. Si la llave no posee firmas de 
“introducers” que uno le ha dicho al software 
que confía, el software cliente no considera la 
llave como certificada y no lo dejará usarla (o 
por lo menos le indicará a no usarla). Cada uno 
elige a quien considera un “introducer” de con- 
fianza. En muchos casos habrá solapamiento, 
ya que muchos “introducers” se transforman en 
confiables para un amplio espectro. Podrían 
hasta firmar un gran número de llaves como una 
ocupación full-time. Esos son llamados CAs en 
el mundo X.509. 


No hay nada malo con tener CAs en OpenPGP. 
Si mucha gente elige confiar al mismo CA para 
que actúe como un “introducer”, y ellos todos 
configuran sus propias copias del software 
cliente de OpenPGP para confiar a ese CA, 
entonces el modelo de confianzas OPenPGP 
actúa en idéntica manera que el modelo X.509. 
De hecho, el modelo de confianza OPenPGP es 
un “superset” (inversa de subconjunto) del 
modelo de confianzas centralizado que normal- 
mente vemos en el mundo X.509. No existe nin- 
guna situación en el modelo de confianza X.509 
que no pueda ser tratado de idéntico modo en 
el modelo de confianza de OPenPGP. Pero, 
OpenPGP puede hacer mucho más, y con una 
arquitectura “fault tolerant”, y más control del 
usuario sobre su perpectiva del modelo PKI. 


Panda Software 
PROTECCIÓN CONTRA VIRUS E INTRUSOS 


Internet Security 


Internet Security 


¿Soluciones a medida 
se 7 Actualizaciones Diarias 


“Soporte Técnico 24 horas / 365 días 
lana 


Dast Informática S.R.L. 
Viamonte 1546 Piso 8 
C1055ABD Ciudad de Buenos Aires 
Tel.: 011 5032-7800 Fax: 5032-8694 
ventasOpandaantivirus.com.ar 
www.pandaantivirus.com.ar 


Clusters bajo Microsoft 


En este artículo se discutirán las tecnologías que 
gobiernan y cómo se configura un cluster de servido- 
res bajo el entorno Windows. La utilización de clusters 


permite aumentar la capacidad de procesamiento o tener tolerancia a fallos (en 
realidad de alta disponibilidad) dentro de nuestra infraestructura. 


Temas expuestos 


>> Conceptos generales de cluste- 
ring 

>> ¿Qué ofrece Microsoft? 

>> Clusters de alta disponibilidad 
>> Clusters de Balanceo de carga 
>> ¿Cómo crear un cluster de alta 
disponibilidad? 

>> Un ejemplo 

>> Nota sobre ISCSI 


Desde los tiempos de Windows 
NT Server 3.51 estuvo disponible la capa- 
cidad de formar un cluster de procesado- 
res. Si bien el realizar un cluster siempre 
pareció una buena idea para los adminis- 
tradores de sistemas, sólo unos pocos 
podían en el pasado justificar el costo de 
realizarlos. Pero, en la actualidad como 
consecuencia de la caída de precios y los 
cambios en la tecnología la relación cos- 
tos/beneficios indica la realización de un 
cluster como beneficioso. Lo primero que 
debe entenderse es que existen dos for- 
mas de cluster que pueden realizarse: el 
primero es el cluster de alta disponibilidad 
(high availability) y el segundo es el cluster 
de balanceo de carga o NLB (Network 
Load Balancing), como es llamado por 
Microsoft. 

El cluster de alta disponibilidad es 
aquél en el cual un grupo de servidores tra- 
bajan en conjunto y en el caso en que uno 
de ellos deje de funcionar, otro del conjun- 
to toma el trabajo que ese estaba realizan- 
do y continúa con la actividad sin que se 
produzcan interrupciones. La segunda 
forma, NLB, es a grandes rasgos definida 
como múltiples procesadores trabajando 
juntos como si fueran uno solo para prove- 
er un conjunto de aplicaciones o uno o 
varios servicios. 

El cluster de alta disponibilidad de 
Windows 2003, disponible en las versiones 
Datacenter y Enterprise, soporta hasta 
ocho nodos por cluster. En cambio el clus- 
ter NLB, que está disponible en todas las 
versiones de Windows 2003, soporta hasta 
32 nodos por cluster. Pero la limitación que 
presenta esta herramienta es que 
Microsoft soporta el uso de sólo uno de 
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estos clusters a la vez. Por ende si se 
requiere un ambiente con un cluster de alta 
disponibilidad y además con carga balan- 
ceada, deberá recurrirse a soluciones de 
otras empresas. 

Generalmente los ambientes de 
alto tráfico o las organizaciones grandes 
que utilizan o desean crear las llamadas 
“granjas” (farms) de servidores Web y 
farms de servidores Web de Terminal 
Services utilizan NLB. Pero si la empresa 
puede afrontar los costos, se beneficiará 
del uso del cluster de alta disponibilidad, 
sobre todo en aquellas empresas en 
donde una interrupción del sistema puede 
ocasionar pérdidas importantes de dinero. 
Ejemplos: la bolsa, sistemas de reservas 
de compañías aéreas, hospitales, bancos, 
casinos.). Ésta forma de realizar el cluster 
también resulta apropiada para servidores 
de archivos, de impresoras, de correo, y de 
bases de datos, pero especialmente en 
servidores de aplicaciones. 
El funcionamiento del Servicio de 
Cluster de Microsoft 

Como primer medida el cluster va 
a necesitar una dirección IP única, y no se 
puede asignar directamente esa única 
dirección a todas las máquinas que van a 
formar el cluster. Por otro lado, Windows 
cachea la información del disco, incluyen- 
do los contenidos de los archivos, en la 
memoria RAM para mejorar la performan- 
ce del disco. Pero el sistema operativo 
Windows de una 
máquina no puede 
“ver” la memoria 
RAM de las otras 
del cluster. Por 
ejemplo, si se 
escribiese informa- 
ción a un disco 
compartido desde 
más de una com- 
putadora resultaría 
corrupto y se per- 
dería la informa- 
ción. Para resol- 
ver todos estos 
inconvenientes y 
otros  relaciona- 
dos, Microsoft 


diseñó el 
Microsoft 
Cluster 
Service. 

La 
solución de 
los problemas 
mencionados 
con anteriori- 
dad es sencilla con este servicio, ya que el 
mismo crea una IP fantasma que represen- 
ta al cluster y que puede ser asignada a 
cualquiera de sus nodos (recordemos que 
de todas formas cada máquina debe man- 
tener una IP única propia). Además 
Microsoft Cluster Service provee un área 
de disco privada que permite a los nodos 
intercambiar la configuración del Registry y 
la información del estado del cluster. Por 
último también utiliza la red para comuni- 
car el estado de los nodos entre los servi- 
dores del grupo. 

Remarquemos que por sus carac- 
terísticas, el Cluster Service de Microsoft 
es un cluster de alta disponibilidad más 
que uno con tolerancia a los fallos. La dife- 
rencia radica en que según palabras de 
sus creadores, los ambientes con alta dis- 
ponibilidad, ante la ocurrencia de un fallo 
experimentan una pausa momentánea a 
diferencia de los que poseen tolerancia a 
fallos que no experimentan ningún efecto 
al ocurrir la falla. 


¿Cómo se crea un cluster? (seguire- P»> 


mos un ejemplo para un cluster de alta 
disponibilidad: ver figura 1) 

En la Fig.1 vemos un grupo de 4 
máquinas: una será un DC (Domain 
Controler), dos (“cluster server1,CS1” y 
“cluster server2,CS2” que tienen dos pla- 
cas de red cada uno) formarán nuestro 
cluster junto a un disco SCSI compartido. 
Además, una Workstation, WS. CS1, CS2, 
WS, y DC pertenecen a una subred llama- 
da “Public”. CS1 y CS2 a través de su 
segunda placa están conectados a otra 
subred llamada “Private”. Si instala 
Windows 2003 server Enterprise Edition en 
CS1 y 2, tendrá por default el Windows 
Cluster Service funcionando. WS, repre- 
sentará a un usuario que quiere escuchar 
un archivo MP3 alojado en el disco SCSI. 
DC es el Domain Controler de nuestro 
dominio. Debemos crear en el dominio una 
cuenta de usuario para el cluster y darle 
privilegios de administrador local (supon- 
gamos CSACC (Cluster Services Account). 

Los clusters de alta disponibilidad 
son creados siguiendo una determinada 
cantidad de pasos. Primero debe crearse 
el cluster, y luego asignarle un nombre al 
mismo. Después se deben agregar los ser- 
vidores (nodos) al cluster creado. Para 
finalizar se debe asociar algún recurso con 
el cluster, como por ejemplo una aplicación 
o servicio, y de esta forma finalizaría la cre- 
ación del cluster. 

La configuración debe comenzar 
con uno solo de los servidores que actua- 
rán como nodos de ese cluster. Trabajando 
con el primer servidor activo deben confi- 
gurarse todas las propiedades del cluster, 
para luego ir agregando la cantidad de 
nodos (servidores) que hagan falta. Para 
realizar dicha configuración, puede recu- 
rrirse a un Wizard, el cual nos irá guiando 
a través de los distintos pasos de la confi- 
guración. Para acceder a ese Wizard 
debemos ir a Inicio, Herramientas 


Administrativas y abrir la consola de 
Administración del Cluster. Luego debe 
seleccionarse Crear un nuevo Cluster en la 
ventana de Realizar Conexión de Cluster. 
A partir de ese momento se irán llenando 
los distintos campos, como el del dominio 
al cual se desea conectar ese cluster que 
se está creando, el propio nombre del clus- 
ter y luego el nombre del primer servidor 
que pertenecerá al cluster. Luego de estos 
primeros pasos el Cluster Service de 
Microsoft realiza la comprobación de los 
datos completados, como puede observar- 
se en la Fig. 2, para luego continuar con la 
configuración. 


El paso que sigue luego de esa 
comprobación, es seleccionar la IP fantas- 
ma de la que hablamos anteriormente, la 
cual será la IP del cluster, pero que no 
debe ser ninguna de las direcciones que 
están siendo utilizadas o serán utilizadas 
próximamente por los sistemas del domi- 
nio. Por último se debe proporcionar el 
nombre de la cuenta CSACC, la cual se 
replicará en todos los nodos del mismo con 
privilegios de administrador local. 

De esta forma finaliza- 
mos con la creación de un clus- |; 
ter de alta disponibilidad, pero 
que cuenta con un solo nodo. A 
continuación, en caso de querer| 
agregar al cluster otro nodo hace 
falta seleccionar Agregar Nodos | 
al Cluster del menú Realizar 
Conexión de Cluster, y de esta 
forma un nuevo Wizard nos guia- 
rá hasta finalizar con esa tarea. 
Nuestro cluster ya tiene dos 
nodos. 


Los Recursos del 
(“Cluster resources”) 

Ahora se debe asociar 
un recurso (resource) con el' 


Cluster e 
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cluster. Un resource puede ser un “file 
share” (archivo compartido), un ”print spo- 
oler”, DHCP, WINS o una aplicación como 
Exchange o SQL Server. Para crear por 
ejemplo, un “file share resource” de alta 
disponibilidad localizado en nuestro disco 
SCSI, debemos crear usando la herra- 
mienta Cluster Administration, un “group”, 
un physical disk resurce, un IP address 
resource, un “network name” resource y un 
“file share” resource. Finalmente poner el 
“file share” resource online. Esto es relati- 
vamente directo y se pueden leer los deta- 
lles en el link que citamos al final. 


Tests y controles posibles 

Realizado todo esto podríamos 
testear nuestro cluster. Desde WS realiza- 
ríamos un logon en el dominio para copiar 
por ejemplo un archivo MP3 al disco SCSI. 
Comencemos ejecutando el MP3 y teste- 
mos que sucede cuando: desconectamos 
el cable de red de CS1 o CS2 o desenchu- 
femos alguno de ellos. 

¿Hubo una pausa en lo que escu- 
chamos?. ¿Hubo diferencia cuando 
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1SCSTI 


¡SCSI es un protocolo que nos 
permite encapsular los comando 
SCSI dentro de paquetes TCP/IP. 
Es una solución de bajo costo 
para clustering y balance de 
carga (comparado con una 
Storage Area Network (SAN). «4 
Permite utilizar su infraestructura 
de red existente para transportar 
datos SCSI. Microsoft soporta 
ISCSI en Windows 2003, XP y 
2000. 


mspx 


desconectamos a CS1 o CS2? Si desea 
saber que nodo está activo y cuál pasi- 
vo durante los tests use Cluster 
Administrador o cluster.exe. 

Además pueden utilizarse el 
Microsoft NetMon para analizar el tráfico 
de la red en cualquiera de los segmen- 
tos de la misma, o el System Monitor en 
los nodos del cluster para realizar una 
comparación de la performance de cada 
uno de ellos. 


¿Y si deseamos más nodos? 

En el caso de querer agregar 
un tercer o un cuarto nodo, lo mejor es 
utilizar la tecnología ISCSI (ver nota 
adjunta). Lo complicado aquí es lo refe- 
rente a los cables del disco SCSI. 


Más detalles: 


Una tercera forma de Clusters bajo Windows: HPC 


La edición HPC (High Performance Computing) de 
Windows Server 2003 estará lista para el 2005 


Por Carlos Vaughn-O “Connor. 


Microsoft confirmó en Junio 2004 que tendrá lista la versión HPC 
de Windows 2003 Server en la segunda mitad del 2005. Aún no se conocen 
precios ni demasiados detalles. Solamente se adelantó que se ofrecerá un 
entorno simplificado para el desarrollo de aplicaciones HPC, instalación de 
los clusters y su administración. 

Computación de Alta Performance (HPC), generalmente se refie- 
re a clusters de docenas a cientos de máquinas, todas procesando una sola 
instancia de una aplicación. El sector más interesado en este tipo de máqui- 
nas es el sector académico y de investigación, pero el modelo computacio- 
nal está tomando fuerza dentro de ciertos sectores empresariales. 
Especialmente, en creación de contenidos digitales y aplicaciones de servi- 
cios financieros tales como risk-management y equity-management. 

El HPC, gira alrededor de clusters para computación en paralelo. 
Los reportes de IDC muestran una franja del 3 a 4% del mercado de servi- 
dores pero está creciendo muy rápido, especialmente dentro del mundo 
empresarial. La evolución de la idea de clusters se llama “grid computing” o 
“utility computing” y se está volviendo popular en otros mercados comercia- 
les. Microsoft en ese sentido quiere ganar experiencia para ser uno de los 
participes de este mercado. 

Este anuncio coincidió con la realización de la Internacional 
Superconducting Conference realizada en Heidelberg, Alemania en Junio de 
2004. La lista de las 500 supercomputadoras incluye hoy 287 sistemas basa- 
dos en tecnología Intel casi 3 veces más sistemas que los 119 del año pasa- 
do. Casi todos estos sistemas corren bajo Linux y no Windows. (leer artícu- 
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http: //www.microsoft.com/ 
windowsserver2003/techn 
ologies/clustering/default. 


Rodrigo M. Gonzalez 


lo del Dr. Reinaldo Pis Diez en NEX 2, pagina 10 “Clusters Beowulf” y en 
NEX 11: IT Specialist, pagina 16 “Open Mosix y Condor”. 


Microsoft tiene clientes y partners, entre ellos el prestigioso Cornell Theory 
Center, trabajando en clusters para HPC sobre versiones de Windows. Pero 
no puede considerarse a Microsoft como un líder en este segmento. Los 
clusters corriendo bajo Linux ofrecen performances equivalentes a los main- 
frames Unix. IDC atribuye el factor precio como muy importante. Con 
Microsoft se debería pagar una licencia por nodo en uno de estos clusters 
HPC. Uno podría llegar a tener 1000 nodos. Aún nada anticipó Microsoft 
sobre el asunto precio. Muy probablemente distribuiría su versión beta entre 
investigadores y academia para luego concentrarse en la venta a clientes. 

La edición HPC de Windows será la primera vez que Microsoft 
dará soporte al Message Passing Interface (MPI), un estándar que es pilar 
básico en la industria del HPC. HPC además requiere un stack completo de 
software entre el hardware y la aplicación que utiliza el cluster. Microsoft aún 
no ha decidido detalles de este stack. Sí, necesitará entre otras tecnologías 
un job scheduler y administrador del cluster. 


MPI es una interfase multiprocesos para el envío de mensajes, texto e imá- 
genes entre los nodos de un cluster. MPI comprende una librería de sub- 
rutinas que manejan la comunicación y sincronización de programas que 
corren en paralelo. 


High-Performance 


Computing 


Como vimos en la edición anterior de 
NEX IT Specialist, aplicando la técnica de 
footprinting se puede obtener una lista de 
direcciones |P correspondientes a hosts y 
redes usando los utilitarios whois y nslo- 
okup. Estas herramientas nos permiten 
obtener información, entre otras cosas, 
sobre rangos de direcciones IP, servidores 
DNS y servidores de e-Mail. Con esta infor- 
mación en nuestro poder, ya es posible 
determinar qué sistemas están “vivos” 
(encendidos) y alcanzables desde internet 
utilizando una variedad de herramientas 
que incluyen ping sweeps (barridos de 
ping), port scans (escaneos de puertos), 
detección de Sistemas Operativos y auto- 
mated discovery (descubrimiento automá- 
tico). 


Uno de los pasos más importantes en el 
trazado de un mapa esquemático de una 
red es realizar un barrido de ping sobre 
rangos de direcciones IP y/o bloques de 
red para determinar cuáles sistemas están 
“vivos”. Este paso se realiza con herra- 
mientas que permiten hacer la misma tarea 
que el rudimentario ping, es decir enviar 
un ICMP Echo (Tipo 8) al posible destina- 
tario y esperar obtener un ICMP 
Echo_Reply (tipo 0), determinando así 
que el posible destinatario está “vivo”. 


Aunque existen muchas herramientas 
disponibles en el mercado, en este artículo 
nos concentraremos en el uso de nmap, 
una poderosísima herramienta desarrolla- 
da por Fyodor 
(http://www.insecure.org/nmap?/). En la 
Figura 1 vemos la sintaxis para realizar un 


Figura 1 — Resultado de ICMP ping sweep con nmap 
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barrido de direcciones IP utilizando el pro- 
tocolo ICMP. 


El modificador —s permite determinar el 
tipo de escaneo que se va a realizar (en la 
Figura 1, la P adicional indica a nmap que 
haga un ping scan); las direcciones IP de 
los posibles destinatarios se pueden espe- 
cificar individualmente ó utilizando rangos 
en cualquiera de los octetos (como en la 
Figura 1), también se pueden especificar 
bloques de red (usando por ejemplo: 
192.168.0.0/24 Ó 192.168.0- 
12.0/25). Cuando se hace un barrido de 
direcciones IP utilizando el protocolo 
ICMP, hay que hacer todo lo posible por 
evitar las direcciones de broadcast (difu- 
sión), debido a que estas 
direcciones tienden a pro- 


ducir DoS (Denial of woody:”4 nmap 
Service-Negación de 
Servicio) Starting nnap 
eS Host 192.168 
El primer problema que Host 192.168 
se puede presentar, al Host 192.168 
hacer un barrido de direc- rs Po. 
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ciones IP utilizando el pro- | Pa 168 


tocolo ICMP, es que este Host 
protocolo esté bloqueado | HR 
en un router ó firewall en el | ie 
borde de una DMZ (De- Hos 12.168 
Militarized Zone-Zona Hos 
DesMilitarizada). Aquí es map ru 
z Ñ woody: 4 

necesario hacer un barrido 

de direcciones utilizando 

otro protocolo y/o evaluando ciertos puer- 
tos conocidos de los posibles destinatarios 
del barrido. En la Figura 2 vemos la sintá- 
xis para realizar un barrido de direcciones 
IP sin utilizar el protocolo ICMP. 


2, .168 


El modificador —s permite determinar el 
tipo de escaneo que se va a realizar (en la 
Figura 2, la P adicional indi- 
ca a nmap que haga un 
ping scan); pero el modifi- 
cador PT8O0 le dice a nmap 
que haga un TCP probe 
scan. Así, utilizando el pro- 
tocolo TCP sobre el puerto 
80, se logra que el barrido 
supere un posible router 
ylo firewall debido a que 
muy probablemente el tráfi- 
co sobre el puerto 80 del 
protocolo TCP esté permiti- 
do. 

“y Como se puede ver, 
esta técnica es muy efecti- 


org/nnaps ) 


woody (192,168,0.210) 
run completed 
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ETHICAL HACKING 
PASO A PASO 


Paso 1: Footprinting. Ver “NEX IT 
Specialist +10, pag 21. 


Paso 2: Scanning 

v a 

para superar el escollo del bloqueo del trá- 
fico ICMP. También vale la pena reintentar 
el mismo rango de direcciones utilizando 
diferentes puertos de protocolos conoci- 
dos, por ejemplo: FTP (21) SMTP (25), 
POP3 (110), RPCBIND (111), IMAP (143), 
MSRPC (135). 


El proceso de detección de un Ping 
Sweep es crucial para determinar si va a 
ocurrir un ataque, cuándo va a ocurrir y 
quién lo va a realizar. El principal método 
de detección de un Ping Sweep es utilizar 
un NIDS  (Network-based  Intrusion 


Figura 2 — Resultado de TCP probe scan con nmap 
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Detection System-Sistema de Detección 
de Intrusos basado en Red). 

Mientras que la detección de los Ping 
Sweeps es crítica, la prevención también 
hará una contribución substancial. Es reco- 
mendable que evalúe el tipo de tráfico 
ICMP que permite circular en su red. 
Recuerde que existen 18 (dieciocho) tipos 
distintos de tráfico ICMP, Echo y 
Echo_Reply son sólo 2 (dos) de ellos. 


Hasta aquí hemos visto cómo se puede 
determinar qué sistemas están “vivos”, uti- 
lizando las técnicas de Ping Sweep ó de 
TCP Probe Scanning. Habiendo recolecta- 
do esta información, ya es posible hacer un 
Port Scanning (Escaneo de Puertos) sobre 
cada equipo/sistema individual. Port 
Scanning consiste en establecer conexio- 
nes TCP y UDP a un equipo de destino 
(una posible *víctima”) para establecer qué 
servicios están en ejecución o en estado 
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mi 


ME 


Listening (escuchando). Los servicios acti- 
vos que estén escuchando pueden permi- 
tir el acceso no autorizado a usuarios no 
deseados. Estos usuarios podrían lograr 
acceso a servidores que están mal confi- 
gurados o que tienen instaladas versiones 
de aplicaciones que tienen vulnerabilida- 


cody:"4 map  192,168,0,4 


Starting mmap 3.' 
Interesting f 
(The 1648 por 


1400 tcp oper 
143 
137 
WI tcp open 
MMC Addre 


tcp open 
tcp open 


Mmap run completed 
woody:”n 


des conocidas. 


Existen varios tipos de escaneo de 
puertos, dando una perspectiva distinta de 
cómo detectar servicios y/o aplicaciones. 
Asimismo, los diferentes tecnicismos de 
cada uno de ellos permitirá hacer los esca- 
neos con un mayor o menor grado de sigi- 
lo. 


>>TCP connect scan: este tipo de 
scan se conecta al puerto de destino 
haciendo un Three-Way Handshake com- 
pleto. (Pasos 1, 2 y 3 de la Figura A de la 
pastilla) 

>>TCP SYN scan: esta técnica es 
conocida también como “half-open scan- 
ning”, debido a que solamente se envía un 
paquete con el flag SYN a la “víctima”, si 
ésta responde con un flag SYN/ACK el 


Figura 3 — Resultado de TCP SYN scan con nmap 


puerto esta escuchando, si responde con 
un flag RST/ACK el puerto esta cerrado. 
Para evitar el Three-Way Handshaking, se 
envía un paquete con el flag RST/ACK, y 
así se logra que la “víctima” no registre una 
conexión. 

>>TCP FYN scan: con esta técnica se 
envía un paquete con el 
flag FIN a la “víctima”, y 
ésta debe responder un 
paquete con el flag RST 
para los puertos que estén 
cerrados. 

>>TCP Xmas Tree 
scan: con esta técnica se 
envía un paquete con los 
flags FIN, URG y PUSH a 
la “víctima”, y ésta debe 
responder un paquete con 
el flag RST para los puertos 
que estén cerrados. 

>>TCP Null scan: con 
esta técnica se envía un 
paquete que tiene todos los 
flags apagados a la “víctima”, y ésta debe 
responder un paquete con el flag RST para 
los puertos que estén cerrados. 

>>UDP scan: con esta técnica se envía 
un paquete a un puerto específico de la 
“víctima”, y ésta debe res- 
ponder un paquete ICMP 
Port_Unreachable para 
los puertos que estén 
cerrados. Los únicos pro- 
blemas de esta técnica 
son: su falta de fiabilidad y 
su baja performance. 


woody:"k 


rima y 


En la Figura 3 podemos 
ver a nmap haciendo un 
TCP SYN scan sobre uno 
de los destinos “vivos” de la 
red. e 


woody:”a 


run Co 


El modificador —s permi- 


te determinar el tipo de escaneo que se va 
a realizar (en la Figura 3, la Ss adicional 
indica a nmap que haga un TCP SYN 
scan); es posible especificar el FADN de la 
“victima”, pero es preferible usar su direc- 
ción IP. 

Las direcciones IP de los posibles des- 
tinatarios se pueden especificar individual- 
mente ó utilizando rangos en cualquiera de 
los octetos (como en la Figuras 1 y 2, pero 
hay que hacer todo lo posible por evitar las 
direcciones de broadcast (difusión). 

Para los demás tipos de escaneo es 
necesario usar una T (7CP connect scan), 
Fr (TCP FIN scan), X (TCP Xmas Tree 
scan), N (TCP Null scan) ó U (UDP scan). 

Si agregamos el modificador v (resul- 
tando en —sSV) nmap tratará de informar- 
nos de la versión de la aplicación y/o servi- 
cio que está escuchando en ese puerto. 


La cantidad de modificadores que tiene 
nmap y sus posibles combinaciones hacen 
imposible que lo mostremos en este artícu- 
lo. 

Existen además otras herramientas dis- 
ponibles, un ejemplo es la herramienta 
portqry de Microsoft. Es gratuita y se 
puede buscar y bajar del Knowledge 


Figura 4 — Resultado de detección de SO con nmap 
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Aplicaciones con Base de Datos para implementar, Alta en Buscadores, Acceso Gratuito a Internet, etc. 


Base del sitio de Microsoft (www.micro- 
soft.com). Otro ejemplo es netcat O nc, 
escrita por Hobbit, (ver la siguiente Web 
P a g e 
http://www. atstake.com/research/tools/net- 
work_utilities) que se ha ganado el apodo 
“*TCP/AIP Swiss Army Knife”, ya que puede 
cumplir una gran variedad de funciones. 
Hablaremos de ella en una futura edición. 


Port Scanning - Contramedidas 

El principal método de detección de un 
Port Scanning es utilizar un HIDS (Host- 
based Intrusion Detection System-Sistema 
de Detección de Intrusos basado en 
Sistemas Individuales). También es posible 
utilizar un NIDS con su placa de red confi- 
gurada en modo promiscuo. 

De la misma manera que la prevención 
ayudaba a evitar los Ping Sweeps, la 
correcta configuración y mantenimiento de 
los routers yló firewalls hará que sea más 
difícil que un intruso conozca los 
puertos/servicios/aplicaciones abiertos en 
los sistemas que se estén asegurando. 


Detección de SO 

Si prestamos atención a las respuestas 
que dio nmap al TCP SYN scan, podemos 
interpretar esos datos y deducir, siguiendo 
algunas premisas conocidas, que la 
máquina “víctima” tiene alguna clase de 
sistema operativo Windows (debido a los 
puertos 135 y 139 abiertos). Pero muchas 
veces, los puertos abiertos en un sistema 
no son fáciles de deducir y producen incer- 
tidumbre. 


Aquí entra en juego nuevamente nmap 
que nos permite mediante el modificador 
-O identificar de acuerdo al fingerprint del 
stack TCP cuál es el sistema operativo de 
la “víctima”. Vemos en la Figura 4 un ejem- 
plo de detección de sistema operativo. 


Three Way Handshaking 


1) Erwía Sobcltud de Sincrorezación [SYN) 
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N)Enwia Sokehud de Fin de Comuricación [FIN] 


N+2) Responde Nobicando (ACK] 


2) Responde Acordimdo la Sincronización [SYN/ACK] 


3) Comienza el ermó de paquetes con Paydoad (ACK] 
A a ci 


Cherte 
= Cortrús el ráercambeo de paquete: con Paydoad [ACK)] 
NA] 


e 


q I.- _—————=—=—+ 


También existen otras herramientas dis- 
ponibles para la detección de sistemas 
operativos, un ejemplo muy conocido es 
QueSo (www.apostols.org/projectz/). Es 
importante recordar que QueSo no es un 
Port Scanner, solamente hace detección 
de sistema operativo a través del puerto 
TCP:80. 


Detección de SO -— Contramedidas 

Debido a que el proceso de detección 
de Sistema Operativo de una máquina 
“víctima” es esencialmente un análisis del 
fingerprint del stack TCP, las herramientas 
para evitar ésta técnica son las mismas 
que para evitar un Port Scanning: HIDSs y 
NIDSs. 


Descubrimiento automático 

Existen herramientas muy com- 
pletas diseñadas para englobar varias fun- 
cionalidades en el scanning. 
Mencionaremos dos: 1) Cheops 
(http://www.marko.net/cheops/) que englo- 
ba usando una interfaz gráfica a ping, tra- 
ceroute, port scanning, y scanning de SOs. 


Y 
+54(11)4319 7694 1 


PET ES 


ii) Tkined (parte del paquete Scotty, 
http://vwwwhome.cs.utwente.nl/-schoenw/s 
cotty/) 


Conclusión 

Hemos visto hasta aquí las principales 
herramientas y técnicas de scanning exis- 
tentes, la información que es posible obte- 
ner y la utilidad de dicha información. 
Como postre a nuestro banquete de herra- 
mientas y técnicas, sólo queda nombrar 
una herramienta que permite hacer todas 
estas tareas en conjunto y desde una única 
interfaz: Nessus (www.nessus.org), una 
herramienta que consta de 2 partes, el 
Server está disponible sólo para platafor- 
mas Unix y/o Linux y el cliente está dispo- 
nible para cualquier plataforma. El cliente 
funciona en modo gráfico. 


En la próxima edición del Paso a Paso 
de Ethical Hacking veremos herramientas 
IDS, principalmente Snort y Portsentry. 


Raúl Kuzner Analista en Sistemas 
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En toda comunicación TCP/IP, así como en la vida real, existen 2 (dos) interlocutores, de aquí en más llamaremos “cliente” al que inicia la comu- 
nicación y “servidor” a quien recibe y contesta la comunicación. 

Cuando un cliente necesita comunicarse con un servidor, lo hace con algún servicio que está en ejecución en ese servidor. Así el cliente no sólo 
debe conocer la dirección IP del servidor, sino que también debe conocer el puerto donde este servicio está “escuchando”. 


En todo paquete TCP/IP, en el header (encabezado) del paquete, están la dirección IP y puerto de origen, la dirección IP y puerto de destino y un 
flag (bandera de estado) que establece el tipo de paquete. El estado de este flag tiene como propósito establecer un three way handshaking (saludo 
de 3 vías) para luego dar paso a un intercambio fluido de paquetes. 

En la siguiente figura podemos ver un esquemático de este proceso de Three- 


Way Handshaking. 


a 
N+1] Responde Aceptando el Fm de Comunicación (FIN/ACE] 
pN A _ _ — _—___—___— AAA 


Figura A — TCP/IP Three-Way Handshaking (Saludo de Tres Vías) 


Claramente puede verse que el intercambio de paquetes para acordar la fina- 
lización de la comunicación responde al mismo criterio de Tree-Way Handshaking. 


Para información más detallada sobre este proceso, vea el artículo 
“Entendiendo TCP/IP” publicado en la edición N* 6 de NEX. 


Rainbow Crack 


Herramienta para cracking de passwords en Windows. 


En este art culo detallamos la evoluci n de las herramientas para crackear los passwords 


de los sistemas operativos Windows.  LopthCrack 
hasta la aparici n de RainbowCrack . 


fue hasta hace muy poco 
Para poder comprender este art culo es muy impor- 


indiscutida 


tante conocer las tecnolog as de c mo se autentica (un usuario) bajo los sistemas operati - 
vos Windows y c mo se almacenan sus passwords. Aqu lo repasaremos brevemente. 


Autenticación y las passwords 


El proceso de presentar un usuario sus 
credenciales al momento del logon se 
denomina autenticación. Usualmente se 
realiza dando el userlD (nombre de usua- 
rio) y password asociado. Aunque hoy, 
comienzan a ser populares otros métodos 
llamados en forma genérica biométricos 
(por huellas digitales, cara, voz, retina 
entre otros). 


Existen muchas instancias en la que uno 
debe autenticarse en una red. Entre otras: 


1) un logon a la red de nuestra empresa 
ii) cuando accedo remotamente a la red 
de la empresa (dial-up o mediante una 
VPN) 

li) Acceso a un web-server en nuestra 
intranet o desde internet. 

iv) Acceso wireless a un access point. 


Cada uno de ellos tiene sus métodos y 
protocolos de autenticación. 


Las passwords de los usuarios compo- 
nen uno de los riesgos más grandes a la 
seguridad de las redes. Este riesgo inclu- 
ye: la creación de las passwords, el modo 
en que los usuarios las protegen, cómo el 
sistema operativo las guarda y como las 
password son transmitidas a través de la 
red. 

El sistema operativo es el responsable de 
guardar y transmitir a través de la red las 
“credenciales” (nombre de usuario y pass- 
word) para las cuentas. 

Windows 2000/2003 y XP soportan una 
variedad de distintos protocolos para 
transmitir las credenciales . También exis- 
ten una variedad de formas de guardar las 
credenciales. 


Protocolos de autenticación de acceso 
a la red bajo sistemas operativos 
Windows 


Los siguientes protocolos son soporta- 
dos por Windows NT: 
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LAN Manager (LMI) 

NTLM 

NTLMv2 
Windows 2000-2003 y XP usan: 

Kerberos v5 
como el método de autenticación por 
default si utilizan Active Directory (AD). Ya 
que es muy posible que en nuestra infres- 
tructura tengamos clientes “legacy” 
(Windows 95,98 etc) NT, Windows 
2000/2003 y XP también soportan las 
autenticaciones anteriores (LM, NTLM y 
NTLMv2). Hay que recordar que éstas son 
autenticaciones más débiles que Kerberos 
y por lo tanto mucho más sencillas de com- 
prometer. 


Historia de Lopht crack 


Hace unos años The Lopht mostró la 
debilidad de la autenticación LM de 
Windows. Lopht introdujo su programa de 
crackeo de passwords. Y, se transformó en 
el programa más popular de password- 


Ingeniería social: 


A menudo la manera más sencilla de obtener 
información sobre una red o realizar una intru- 
sión es preguntar. Aunque parezca raro, 
muchas veces los empleados queriendo o sin 
querer revelan información importante acerca. 
de su empresa. Para el atacante, significa 
hacer la pregunta correcta a la persona indica- 
da con el tono correcto. Esta explotación de 
confianza se conoce como: Ingeniería Social. 


cracking del sistema operativo Windows. 
Lophtcrack LC5 (ver atstake INC., 
www.atstake.com), es una herramienta 
administrativa muy respetada y LM ha sido 
reemplazada por NTLM, NTLMv2 y 
Kerberos v5. Pero, hoy LC5 ha sido supe- 
rado por Rainbow Crack. 


Importancia de conocer LC5 y 
Rainbow crack 


Del uso de LC5 los administradores 
pudieron aprender cómo proteger aún 
más sus sistemas: promoviendo el uso de 


passwords complejos y sabiendo cómo 
proteger las cuentas importantes. 
Investigar y aprender cómo funciona 
Rainbowcrak es también una muy buena 
idea. 


Sobre Rainbow crack 


Utilizando un método llamado Master- 
Time memory Trade-Off Technique (basa- 
da en trabajos anteriores de Hellman), 
Phillipe Oechslin propuso una metodolo- 
gía capaz de crackear los passwors de 
Windows LM 12 veces más veloz que LC5. 
La idea es muy simple y se basa en usar 
tablas pre-calculadas con los hashes de 
todas las combinaciones posibles de 
caracteres en los passwords de Windows. 
Esto, junto a un algoritmo de búsqueda 
muy eficiente logra el factor 12 antes men- 
cionado. Su trabajo original puede verse 
en el siguiente link 
http://lasecwww. epfl.ch/php_code/publica- 
tions/search.php?ref=0ech03. 

El método fue originalmente introducido 
para el protocolo LM, pero hoy es posible 
aplicarlo a NTLMv2 que permite utilizar el 
conjunto de caracteres Unicode (con 
mayúsculas y minúsculas) y usar hasta 
128 caracters (LM permitía solo 14 y 
mayúsculas) 

Al algoritmo se lo llama “Rainbow 
Crack”. 


Porqúe el factor 12 de Rainbow Crack 
es tan importante 


El factor tiempo ha sido siempre conside- 
rado el más importante en password-crac- 
king: si los passwords son suficientemente 
complejos, lleva mucho tiempo poder crac- 
kearlas y las hace seguras. Hoy máquinas 
mucho más poderosas, maquinas que 
pueden actuar en conjunto y ahora 
Rainbow Crack contribuyen a reducir los 
tiempos de crackeo. 

Sin embargo existen una serie de accio- 
nes que podemos hacer para proteger 
nuestros sistemas de password cracking. 


» 
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1. Utilizar protocolos de autenticación fuer- Registry. metodologías de autenticación cuando se 


tes. >> En Windows 95/98, instalando “Active accede remotamente: incluyendo anony- 
2. Utilizar protocolos de acceso remoto Directory” client y modificando el Registry.  mous, basic (passwords en texto plano), 
fuertes. integrated (variantes de LM o Kerberos), 


3. Utilizar comunica- 
ciones seguras. 

4. Proteger las bases 
de datos de las pass- 
words. 

5. Investigar las técni- 
cas de password 
cracking. 

6. Forzar políticas de 
passwords y realizar 
entrenamientos de 
concientización y 
auditorías de pass- 
words. 


¿Qué es SMB y SMB-signing? 


Server Message Block (SMB) es un protocolo 
nativo soportado por todas las versiones de 
Windows. Aunque es básicamente un protoco- 
lo para compartir archivos, es también usado 
con otros propósitos. Uno de los más impor- 
tantes: diseminar la información de Group 
Policy desde los Domain Controlers (DC) a los 
sistemas recién logueados. Desde el comien- 
zo de Windows 2000 es posible mejorar la 
integridad de las sesiones SMB firmando digi- 
talmente todos los paquetes en una sesión. 
Windows 2000-03 y XP pueden ser configura- 
dos para siempre firmar, nunca firmar o solo 
firmar si el otro sistema lo solicita. 


Es importante eli- 
minar el almacena- 
miento de los has- 
hes LM en la base 
de datos de las 
passwords. Esto 
está por default en 
Windows 2003. Se 
debe modificar el 
Registry para siste- 
mas operativos 
anteriores. 


PAP, CHAP, MS-CHAP, MS-CHAPv2 and 
EAP (y variantes como PEAP y smart 
cards). 

Los seteos por default (por defecto) son 
en general bastante débiles y es preciso 
llevarlos a lo máximo posible. Recordemos 
que encima de los problemas de autentica- 
ción en nuestra red aquí estamos realizan- 
do la comunicación en redes no confiables. 

En los entornos de Windows 2000/2003 
es posible definir además políticas de 
acceso remoto (Remote access policies) 
que permite la configuración de opciones 
para la autenticación en el acceso remoto 


mucho más granular ( por ejemplo definir 
pertenencia a ciertos grupos, en determi- 
nado horario, tipo de protocolo y otros). 
Kerberos es el protocolo de autenticación Cuando sea apropiado convendrá utili- 
de member servers o workstations en 
dominios con Windows 2000/2003/XP. En 
caso que tengamos sistemas “legacy” 
habrá que configurar que sea NTLMv2 (y 
no LM o NTLM) el protocolo de acceso. 


Esto puede hacerse: 


Usuarios en su casa o empleados fuera 
de las oficinas accederán 
LC5: LophtCrack 5 (de (Wstake Inc. 


remotamente a nuestra 
red. En muchos casos es www atstake.com) 


importante imponer auten- 
ticación. El acceso remoto 
puede ser vía dial-up 
(telefónico o VPN), WEB o 
wireless. 

Existen en Windows un 
número muy grande de 


(Ostake LC 5 es la última versión de la herramienta más prestigio- 
sa de auditoria y recuperación de passwords. Ayuda a los adminis- 
tradores auditar en forma completa y recuperar passwords de 
cuentas de usuarios y administradores del mundo Windows y Unix. 
De este modo se puede acceder a passwords perdidas o canalizar 
la migración a otro sistema de autenticación diferente. 


>> Con group policies, (en dominios 
Windows 2000/2003). 
>> En Windows NT SP4, modificando el 


Antivirus Actualización 
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Nic/dee 


zar lAS (Internet Authentication Server , 
RADIUS) 
3. Utilizar comunicaciones seguras 


Si las credenciales viajan, debemos pro- 


Técnicas de cracking de pass- 
words 


1. Ataque de diccionario 

Utiliza un archivo que contiene palabras del 
diccionario. Usando el mismo algoritmo que 
usa Windows para crear el hash de los pass- 
words, los compara con los hashes que el sis- 
tema operativo Windows tiene guardados. 

2. Ataque heurístico 

Se utiliza el conocimiento de cómo la mayor 
parte de los usuarios construyen sus pass- 
words (por ejemplo agregado de números al 
final de palabras etc.) como ayuda para ir 
generando los passwords para comparar. 

3. Ataque Brute Force (Fuerza Bruta). 
Simplemente prueba todas las combinaciones 
posibles de caracteres. 


teger las comunicaciones. Estos métodos 
incluyen: 

VPNs 

SSL 

IPsec 

SMB signing 


4. Proteger las bases de datos de las 
passwords 


Todo sistema operativo, por razones de 
seguridad contendrá uno o más archivos 
con una base de datos con la información 
de los usuarios. Esta base de datos alojará 
toda la información del usuario, incluyendo 
su password. Por supuesto que esos 
archivos contendrán la información, al 
menos los passwords, encriptados de 
modo de impedir su conocimiento en caso 
de ser comprometido el archivo. Por eso, 
resulta imperativo proteger esos archivos. 
En Widows NT esa información se guarda- 
ba en la SAM (Security Accounts Manager) 
database. Hoy toda la familia de SOs 
Windows para workstations incluyendo 
Windows 2000 Professional y XP también 
contienen y usan una SAM. Por default 
Windows 2003 Server también contiene y 
usa una SAM. Pero, cuando organizamos 
nuestra infraestructura en dominios, con 
Active Directory (AD), los llamados 
“Domain Controlers (DC) contendrán la 
base de datos centralizada debidamente 
protegida en el archivo NTDS.DIT. Por 
ejemplo este archivo no puede copiarse si 
el sistema está activo. 

Es por esto que debe tener en cuenta los 
siguientes consejos: 


>> Proteja los backups. Los backups con- 
tienen copias de la SAM o ntds.dit. No los 
deje sin protección y monitoree su acceso. 
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>> Proteja físicamente las computadoras. 
Si el sistema puede accederse físicamen- 
te, un atacante puede ser capaz de reboo- 
tearla en otro sistema operativo. Esto le 
permitirá copiar el archivo de la base de 
datos para llevárselo o quizás realizar un 
ataque localmente. 

>> Las cuentas de administrador deben 
ser limitadas, muy bien asignadas y audi- 
tadas. Existen herramientas administrati- 
vas como ERD Commander y variantes de 
pwdump que en manos de un atacante con 
privilegios de administrador permiten crac- 
kear las passwords del sistema. 


5. Investigar las técnicas de password 
cracking 


Un programa de password cracking será 
una excelente inversión para el grupo de 
seguridad de la empresa. Conocer las 
herramientas que un posible intruso usará 
nos preparará para la defensa. Tendremos 
noción de las posibles metodologías y más 
importante aún, de los tiempos que puede 
llevar realizar un cracking de passwords en 
nuestros sistemas. 

LC5 de atstake Inc. ha sido desde hace 
años la herramienta para permitirnos 
entender y realizar auditorias de pass- 
words. LC5, también utiliza tablas de 
RainbowCrack. Ver más detalles en recua- 
dro adjunto. Si uno desea testear las 
tablas de RainbowCrack directamente, 
existen gran número de web-sites con 
información detallada. 


6. Forzar políticas de passwords y reali- 
zar entrenamientos de concientización 
y auditorías de passwords 


Implemente políticas de passwords. Por 
ejemplo, si utiliza passwords con más de 
15 caracteres automáticamente requerirá 
el uso del protocolo de autenticación 
NTLM. Recordar que cuanto más larga es 
la password más difícil será crackearla. No 
solo el largo del password es importante 
sino la utilización de caracteres menos 
comunes dificultarán el crackeado. 


Para proteger nuestros sistemas no basta 
con implementar políticas y tecnologías. 
Es fundamental promover entrenamiento 
de concientización a nivel de los usuarios. 
Es difícil pretender que el usuario entienda 
la importancia de seguir políticas de pass- 
words. La concientización reducirá por 
tanto el esfuerzo requerido para lograr la 
aplicación de políticas. 


Si alguien puede acceder física- 
mente (y sín restricciones) a su 
computadora, dejó de ser suya. 


Una vez que el atacante tiene acceso físico a 
una computadora es poco lo que se puede 
hacer para que él no logre tener privilegios de 
administrador sobre el Sistema Operativo. Con 
la cuenta administrador comprometida casi 
todos los datos que están permanentemente 
guardados pueden ser accedidos. También 
podría este atacante introducir hardware o 
software para monitorear keystrokes sin que 
el usuario se entere. Si una computadora ha 
sido comprometida físicamente o UD está en 
duda, deje de confiar en esa máquina. 


Se deben realizar esfuerzos de enseñar 
como crear passwords complejas y 
demostraciones de cómo se pueden crac- 
kear password. Cuando la gente toma con- 
ciencia de cuan fácilmente se pueden crac- 
kear password muy sencillas los mentaliza 
al uso de passwords más complejas. 
También es posible entrenar de cómo 
impedir social engineering (ver recuadro 
adjunto). 


Referencias: 

Microsoft Windows Security Resource Kit por 
Microsoft Corporation, Ben Smith, Brian Komar, 
Elliot Lewis, y miembros de MS security Team. 
Microsoft Press. 


¿Cuándo debo usar tablas pre-computadas de hashes de passwords? 


Tablas pre-computadas de passwords incluyen trillones de hashes de passwords que han sido 
computadas de antemano al proceso de auditoría de passwords y procesos de recuperación. La 
gran ventaja de estas tablas está en la reducción del tiempo requerido para recuperar una pass- 


word individual. 


Durante la auditoría o recuperación, el hash de cada cuenta es comparado con los hashes en la 


tabla pre-computada. Que un hash coincida significa que la password ha sido recuperada. Este 
proceso permite reducir de forma drástica el tiempo requerido. Una sola cuenta puede llevar horas 
con un ataque tipo fuerza bruta y sólo segundos usando las tablas pre-calculadas. Sin embargo, 
los tiempos ahorrados usando tablas pre-computadas se reducen cuando el número de cuentas 
auditadas o recuperadas aumenta. Se recomienda usar tablas pre-computadas cuando el número 
de cuentas es menor de 2500. Cuando el número es mayor a 2500 se recomienda un análisis tipo 
fuerza bruta. 
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Modelos de Negocio basados 
en Software Libre 


Es muy importante lograr entender las relaciones entre el software libre y la empresa. En 
este art culo se pretende ofrecer una visi n del software libre desde el punto de vista del 
emprendedor. Se van a recorrer algunos modelos de negocio relacionados con el software 
libre con viabilidad comprobada en el mundo real. Sabemos que existen multitud de modelos 
y variantes que no vamos a tratar ya que posiblemente exceder a el objetivo del art culo. 


1. Introducción 

El software libre ha experimentado un 
crecimiento muy importante en la última 
década. Al principio apoyado por personas 
que vendían ideas, como R.M.Stallman o 
E.S.Raymond, construyendo una percep- 
ción del software libre alrededor del con- 
cepto de «Hacker» como programador 
excepcional motivado por la calidad de su 
código. 

Se hablaba entonces de las posibilida- 
des de Linux y otros proyectos de software 
libre de perdurar en el tiempo y de conver- 
tirse en alternativas reales de propósito 
general. Era necesario alcanzar una deter- 
minada masa crítica de usuarios que 
garantizara la supervivencia del modelo y 
su crecimiento. 

Casi desde el principio aparecieron 
intentos de poner en marcha negocios 
alrededor del software libre aunque por 
regla general no tuvieron excesivo éxito 
(honrosa excepción de algunas empresas 
como RedHat). Se cuestionaba bastante la 
viabilidad de negocios alrededor del soft- 
ware libre, tras fracasos importantes de 
empresas como VALinux o Corel. 

En los últimos tres o cuatro años el 
concepto de Software Libre asociado a la 
imagen de «Hacker» ha cambiado radical- 
mente. Se ha producido una revolución 
muy importante que consiste en la adop- 
ción de grandes proyectos de Software 
Libre (en especial Linux, Apache y MySQL) 
por parte del entorno empresarial. Esto ha 
supuesto para el Software Libre la capaci- 
dad de ofrecer parte de las necesidades 
que el concepto «Hacker» no podía pro- 
porcionar y que el entorno empresarial 
demandaba, como soporte profesional, 
acuerdos de nivel de servicio, compatibili- 
dad con otras plataformas o certificaciones 
en hardware y software. 

Hoy en día ya no se habla de la masa 
crítica de usuarios, ni de la viabilidad 
empresarial del software libre. Este nivel 
se ha alcanzado ya. En este momento 
existen multitud de modelos de negocio 
alrededor del software libre con viabilidad 
demostrada y probada. En este artículo se 
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pretende ofrecer una visión del software 
libre desde el punto de vista del emprende- 
dor. Se van a recorrer algunos modelos de 
negocio relacionados con el software libre 
con viabilidad comprobada en el mundo 
real. Sabemos que existen multitud de 
modelos y variantes que no vamos a tratar 
ya que posiblemente excedería el objetivo 
del artículo. 

A medida que el Software Libre vaya 
creciendo en número de usuarios y empre- 
sas que lo utilizan irán apareciendo nece- 
sariamente nuevos modelos de negocio no 
recogidos en este artículo. El presente 
artículo sirvió como prólogo a la ponencia 
que se presentó en el ultimo congreso 
hispaLinux en Septiembre de 2003, 
cubriendo el análisis de los diferentes 
modelos de negocio viables dentro del 
mundo del Software Libre, considerando 
como marco de referencia el avance expe- 
rimentado por estas tecnologías en los últi- 
mos años y desde una óptica de compara- 
ción con el software distribuido bajo licen- 
cia propietaria, ofreciendo un imagen pre- 
sente y una valoración futura de la viabili- 
dad de estos modelos de negocio. 


2. Cambio de planteamiento: 
de producto a servicio 

Desde el punto de vista empresarial, 
el software libre supone un cambio de 
planteamiento con respecto al software 
propietario tradicional. El cambio funda- 
mental consiste en el paso de obtención de 
ingresos por venta de productos a obten- 
ción de ingresos por venta de servicios. 

En general, el concepto de software 
libre invalida la obtención de ingresos por 
repetición de ventas de licencias de uso de 
un mismo producto cerrado, ya que, por su 
propia naturaleza, cualquier persona que 
obtenga ese software es capaz de modifi- 
carlo y copiarlo dentro de las restricciones 
impuestas por cada licencia. Ninguna 
empresa pagaría por un producto (recalco 
lo de producto) si es capaz de obtenerlo 
gratuitamente a no ser que el desembolso 
económico suponga una serie de servicios 
adicionales por los cuales sí que estaría 


dispuesta a pagar. 

Mientras que el software propietario 
basa sus ingresos en las licencias de uso 
de software, el software libre tiene que 
buscar su rentabilidad en los servicios aso- 
ciados a ese software y no en el producto 
en sí. 

Uno de los casos más brillantes pode- 
mos encontrarlo en la empresa MySQL AB. 
Esta empresa ha construido su modelo de 
negocio alrededor de un software de Base 
de Datos (MySQL) el cual, en muchos 
aspectos (escalabilidad, soporte al cliente 
final, características técnicas, etc.), está 
por detrás de grandes productos comercia- 
les como Oracle o DB2. 

Las posibilidades de sobrevivir de 
MySQL AB compitiendo con estos otros 
productos son nulas en un ámbito pura- 
mente comercial. Pero MySQL es software 
libre, cualquiera puede instalarlo y utilizar- 
lo, y cubre todas las necesidades de la 
mayoría de las implantaciones. Esto ha 
hecho que MySQL se encuentre instalado 
en más de cuatro millones de sistemas en 
producción (no es posible conocer el 
número exacto, ya que nadie vende licen- 
cias de uso y es posible la descarga y uso 
del software casi sin limitaciones). Es 
impensable que MySQL hubiera logrado 
esos números compitiendo con Oracle o 
DB2. 

MySQL AB renuncia a parte de los 
ingresos obtenidos a través de licencias a 
cambio de incrementar la base de usuarios 
y obtener ingresos entre otras áreas, como 
los contratos de soporte y consultoría o las 
peticiones de personalización que algunos 
de estos usuarios solicitan a la empresa. 
Las mejoras logradas en el software son 
incorporadas al propio producto de modo 
que pasan a estar disponibles para todo el 
mundo en la siguiente versión. 

Debido a este proceso, la base de 
datos MySQL está inmersa en un desarro- 
llo muy rápido y está alcanzando en funcio- 
nalidad a sus hermanos mayores. Los 
usuarios empiezan a demandar (e imple- 
mentar) funcionalidades que solamente 
existían en grandes productos propieta- 
rios (escalabilidad, seguridad, etc.). » 


El uso de software libre todavía tiene 
una serie de resistencias que, en algunas 
empresas, son casi insalvables hoy en día. 
En las pequeñas empresas todavía existe 
un cierto temor a los cambios y a la falta de 
compatibilidad con lo que ha existido hasta 
ahora. Es por ello que la adopción de soft- 
ware libre está siendo asumida primero por 
las grandes empresas y las entidades 
gubernamentales. 


3. Ventajas competitivas 

La utilización de software libre en el 
entorno empresarial ofrece una serie de 
ventajas competitivas muy importantes, 
pero que suponen un cambio de mentali- 
dad sobre un modelo (el clásico de venta 
de licencias) asumido completamente por 
el entorno. Algunas de las principales ven- 
tajas competitivas que puede ofrecer la uti- 
lización de software libre son las siguien- 
tes: 


>>Capacidad de modificación del 
código: Con software libre una 
empresa tiene capacidad para 
adaptar la solución a sus necesi- 
dades, arreglar fallos operativos 

o de seguridad, etc. 
>>Independencia del provee- 
dor: La implantación de una 
solución basada en software 
libre permite al cliente la elec- 
ción del mejor proveedor de ser- 
vicios. La disponibilidad del 
código fuente y la capacidad 
para modificarlo permite que 
una empresa no quede atada a 

un determinado proveedor. 
>>Seguridad: Se disminuye o 
incluso se puede llegar a elimi- 

nar la existencia de puertas tra- 
seras, troyanos, etc., debido a 
que cualquier empresa puede 
auditar el código fuente de las 
aplicaciones que pone en pro- 
ducción. Adicionalmente la pro- 

pia «comunidad de usuarios» 
está desarrollando constante- 
mente el mismo trabajo de audito- 
ria de código. 

>>Garantías de permanencia: La utili- 
zación sistemática de estándares hacen 
difícil que una determinada aplicación 
pueda quedar sin soporte. En el caso de 
que esto suceda, la disponibilidad del códi- 
go permite que otro grupo de usuarios u 
otra empresa pueda tomar el liderazgo en 
el desarrollo. Las aplicaciones basadas en 
software libre solamente mueren cuando 
dejan de utilizarse, generalmente porque 
aparezcan aplicaciones superiores que 
actúen como sustitutivas. 


Desde el punto de vista del empresa- 


rio, el desarrollar software libre también 
tiene una serie de ventajas indudables, 
como son: 


>>Disponibilidad de una comunidad poten- 
cial enorme de programadores y probado- 
res del software 

>>Posibilidad de respuesta rápida ante 
clientes por problemas en el código, con- 
secuencia de la anterior 

>>Evolución «automática» de las distintas 
piezas de software que componen una 
solución 

>>Tendencia a una calidad enorme en el 
código desarrollado, como consecuencia 
de la necesidad de trabajar en equipo con 
personas desconocidas 

>>Tendencia a la utilización de estándares, 
lo que permite la construcción de solucio- 
nes mucho más completas mediante inte- 
gración de distintas aplicaciones 


Es difícil para una empresa que invier- 
te recursos en el desarrollo de software la 
decisión de liberar el código. El éxito de la 
iniciativa depende en gran medida de la 
utilidad real que el software en cuestión 
tenga para la mayoría de los usuarios. 


4. Algunos modelos de nego- 


cio basados en software libre 

En esta sección vamos a comentar 
una serie de modelos de negocio relacio- 
nados con software libre. Evidentemente 
no están cubiertos todos ellos, ya que casi 
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cada día aparecen nuevas ideas o plante- 
amientos, algunos de ellos muy exitosos. 
Hemos dejado fuera conscientemente 
algunos modelos de negocio perfectamen- 
te válidos y exitosos como los relacionados 
con formación o consultoría ya que son 
esencialmente iguales si están basados en 
software libre o en software con licencia 
propietaria. No todos los modelos de 
negocio comentados se basan en software 
libre puro. Algunos de los modelos de 
negocio relacionados con software libre 
más exitosos se basan en la mezcla en 
mayor o menor medida de software libre y 
software propietario. Hay un concepto 
clave para comprobar la viabilidad de un 
negocio. Los modelos de negocio basados 
en software libre más exitosos se logran 
cuando los dos actores principales detrás 
del desarrollo de una determinada tecnolo- 
gía (el propietario del software y la «comu- 
nidad») se encuentran motivados para 
mantener y hacer evolucionar dicha tecno- 
logía (léase más adelante el ejemplo 
de TrollTech con las librerías QT). 


4.1 Software libre como 
plataforma a software comer- 
cial 

No se puede decir que este 
sea un modelo de negocio basa- 
do en software libre propiamente 
dicho, pero ciertamente tiene 
bastante interés para completar 
el «gran dibujo» que supone la 
relación entre el mundo del soft- 
ware libre y el mundo del softwa- 
re propietario. 

Algunas grandes empresas 
comerciales tradicionales como 
podría ser Oracle, o en su 
momento Corel, han seguido con 
cautela la adaptación al software 
libre. Con piezas de código cerra- 
das que suponen parte de su 
«core-business», han intentado 
(con mayor o menor éxito) la inte- 
gración con el mundo del softwa- 
re libre tratando de mejorar la 

compatibilidad y permitiendo la eje- 
cución de su software sobre siste- 
mas operativos libres (como Linux). 
Este modelo de negocio consiste bási- 
camente en la adaptación de determinadas 
aplicaciones disponibles bajo licencia pro- 
pietaria de modo que pueda coexistir con 
aplicaciones basadas en software libre. 
Hoy en día existen multitud de empresas 
siguiendo este modelo de negocio. 
Algunos ámbitos de necesidad toda- 
vía no están cubiertos por software libre, 
aunque rápidamente se están llenando 
todos los huecos. Muchas empresas 
cubren estas necesidades desarrollando 
software propietario capaz de ser ejecu- 
tado en sistemas libres como Linux. > 
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Hay multitud de ejemplos que podemos 
citar, como: 

>> SAP/R3 

>> Siebel 

>> Macromedia Flash 

>> HP openview 

Todos ellos están cubriendo necesida- 
des existentes en el mundo del software 
libre y que no se encuentran todavía 
cubiertas satisfactoriamente por aplicacio- 
nes libres. Este modelo de negocio no es 
válido si asumimos como tal la capacidad 
de obtener ingresos sostenidos de un 
determinado esfuerzo. Existen histórica- 
mente multitud de ejemplos en el ámbito 
del software libre que lo corrobora, como 
por ejemplo: 


>>ApplixWare o Corel WordPerfect 
Office, son suites ofimáticas propietarias 
que pretendían cubrir las necesidades ofi- 
máticas en Linux. Hoy en día prácticamen- 
te han desaparecido con el crecimiento de 
aplicaciones libres sustitutivas. 

>>SSH, protocolo de comunicaciones 
propietario, desaparecido rápidamente tras 
la aparición de openSSH. 

>>IPlanet Enterprise Server, es un 
servidor web con licencia propietaria prác- 
ticamente en extinción por el éxito de 
Apache. 

Hay algunas aplicaciones que pueden 
encontrarse en un callejón sin salida si no 
logran encontrar un nicho de usuarios sufi- 
cientemente importante en el mundo del 
software libre, como pueden ser los diver- 
sos servidores de aplicaciones, por el éxito 
de alternativas libres como Tomcat, JBoss 
o Jonas, sistemas de Firewall propietarios 
como FW1 o servidores de Directorio 
LDAP como IPlanet Directory Server. 

Este modelo de negocio planteado no 
logra captar las ventajas competitivas deri- 
vadas de modelos de negocio puramente 
basados en software libre por lo que pue- 
den llegar a tener dificultades para obtener 
rentabilidad a largo plazo. Si la necesidad 
existe y es real, a la larga aparecerán pro- 
yectos de software libre que cubran dicha 
necesidad, con todas las ventajas inheren- 
tes que proporciona el uso de software 
libre. 

4.2 Modelo de desarrollo con doble 
licencia 

Este es uno de los nuevos modelos de 
negocio que se ha comprobado que son 
exitosos. Básicamente se trata de asociar 
dos licencias a un determinado código, 
una de ellas es licencia libre y otra es licen- 
cia propietaria. Como usuario, puedes ele- 
gir cualquiera de las dos licencias para 
aplicar al uso del software. Se podría asu- 
mir que este modelo de negocio está lle- 
gando a la madurez debido a que ha sido 
probado durante bastantes años con éxito 
por múltiples empresas. 
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Ejemplos: Trolltech y las librerías QT , 
y openOffice 


4.3 Soporte y productos alternati- 
vos 

Este modelo es bastante tradicional y 
consiste en desarrollar una determinada 
aplicación bajo licencia libre, ofreciendo 
personalizaciones y/o servicios específicos 
sobre este software. Como consecuencia 
de este modelo de negocio generalmente 
se evoluciona a la disponibilidad de dos 
versiones del mismo software, una libre y 
otra propietaria, ofreciendo esta última una 
funcionalidad superior. 


Ejemplos: Sendmail, MySQL 


4.4 Desarrollo de componentes 
comerciales para productos de software 
libre 

Este modelo es muy similar al anterior. 
Consiste en el desarrollo bajo licencia libre 
de aplicaciones específicas, generalmente 
de propósito general. Sobre estas aplica- 
ciones se desarrollan determinados com- 
ponentes comerciales que se distribuyen 
bajo el clásico modelo de licencias de uso 
que cubren determinadas necesidades 
específicas de un cliente. 


Ejemplos: Evolution , Kivio 


4.5 Donaciones o suscripciones 

Algunos negocios, sobre todo las 
publicaciones digitales, basan su estructu- 
ra de ingresos en las suscripciones de los 
usuarios. Este tipo de modelo de negocio 
por regla general está ligado a las revistas 
electrónicas, aunque también se observa 
en algunos proyectos de software libre. 


Ejemplos: Linux Weekly News 
(Iwn.net), Typo3, Compiere , Transgaming 
y WineX 


4.6 Nuevos productos derivados de 
licencias tipo BSD 


Sobre el autor 


Fernando Monera (correo electrónico: 
fmoneraWDopensistemas.com), Ingeniero 
Informático, MBA en ICAl, trabaja en la 
actualidad como director general y socio 
fundador de openSistemas (Web Page: 


http: //www.opensistemas.com), empresa 
focalizada en integración de soluciones 
basadas en software libre. 

Su relación con el software libre comenzó 
en 1997 interesado fundamentalmente por 
el aspecto sociológico detrás del concepto 
de software libre, representado en gran 
medida en el artículo «La catedral y el 


Existe una diferencia fundamental 
entre las dos grandes licencias libres, GPL 
y BSD. Mientras que con la licencia GPL 
todo el software derivado está obligado a 
llevar la misma licencia, con las licencias 
tipo BSD es posible re-licenciar el código 
derivado a cualquier tipo de licencia, inclui- 
das licencias propietarias. Productos con 
licencia derivada de BSD podemos encon- 
trar Apache, Wine o XFree. 


Ejemplos: Crossover Office / Plugin 
MacOS X 


4.7 Integración de software 

La integración de componentes o ele- 
mentos de software no es un concepto 
nuevo. Desde hace muchos años el con- 
cepto de reutilización de código ha sido crí- 
tico en el éxito de una empresa de desarro- 
llo. Lo que ha hecho el software libre es 
llevar la integración de software a límites 
mucho más extensos. El software libre por 
su naturaleza ofrece casi todas las venta- 
jas para costruir un negocio basado en 
integración de software. Las bases de este 
tipo de negocio consisten en un potente 
1+D, capaz de conocer y analizar la mayo- 
ría de las herramientas disponibles basa- 
das en software libre. De este conocimien- 
to es posible construir aplicaciones a la 
medida del cliente mediante la integración 
de los elementos que más se adaptan a 
sus necesidades. La clave para este tipo 
de negocios es el desarrollo de software de 
integración evitando en la medida de lo 
posible la modificación de las aplicaciones 
a integrar y que permita evolucionar los 
distintos elementos de la solución final con 
el mínimo impacto sobre la solución alcan- 
zada. Para las soluciones construidas en 
base a integración de distintas herramien- 
tas es vital la liberación del código desarro- 
llado, sobre todo si la integración ha reque- 
rido la adaptación de alguna de las herra- 
mientas utilizadas. 


Ejemplos: openSistemas: integrador 
de soluciones > 


Bazar» de Eric S. Raymond. 

En 2001 fundó un portal de supercompu- 
tación de habla hispana denominado 
hispaCluster (Web Page: http://www.his- 
pacluster.org) en pleno funcionamiento 
hoy en día y patrocinado por 
openSistemas. 

Desde 1997 hasta hoy ha estado relacio- 
nado con el software libre tanto laboral 
como personalmente, involucrado en dife- 
rentes proyectos como TWIG (herramien- 
ta groupware basada en plataforma web) 
o Jensen (linux para plataformas Alpha), 
fomentando el uso de software libre en 
todos los ámbitos que le ha sido posible. 


=l81x 


(www.opensistemas.com), 


Conclusiones 

Hasta hace unos pocos años no se 
había podido generalizar la viabilidad del 
software libre como modelo de negocio. 
Por regla general, las buenas ideas falla- 
ban por falta de masa crítica de mercado, 
falta de soporte de grandes empresas u 
otros motivos. En los últimos años, la cre- 
ciente competitividad, el aumento de 
madurez del mercado tecnológico, el pro- 
pio avance del Software Libre y su proba- 
da eficiencia y calidad junto con una situa- 
ción económicamente débil, han provoca- 
do el comienzo de la asunción de un cam- 
bio de paradigma en el desarrollo y distri- 
bución de software. Los clientes empiezan 
a no estar satisfechos con la adquisición 
de productos, sino que quieren una perso- 
nalización, una adaptación a sus proble- 
mas reales. De esta forma muchas empre- 
sas han pasado de un modelo basado en 
venta de producto a otro basado en venta 


de servicios y soporte asociados. Es en 
este nuevo modelo donde el Software 
Libre es casi imbatible. El cambio que se 
está produciendo tiene además implicacio- 
nes de orden político que no escapan a los 
gobiernos y grandes empresas y que pro- 
vocan movimientos muy importantes 
impensables hace muy poco tiempo. Por 
ejemplo en España estamos viendo cómo 
el uso del software libre se utiliza en los 
programas electorales como un arma de 
diferenciación política. 

Utilizando soluciones basadas en soft- 
ware libre no es necesario estar constante- 
mente reinventando la rueda. Si nos para- 
mos a pensar un poco es un modelo 
muchísimo más lógico desde el punto de 
vista del desarrollo de software. Los nue- 
vos esfuerzos parten de código ya existen- 
te y disponible garantizando que los nue- 
vos esfuerzos no tienen que partir de cero. 
Desde mi punto de vista, consiste en la 
implementación del método científico al 
desarrollo de software. Posiblemente, la 
consolidación de los modelos de negocio 


basados en software libre estaba pendien- 
te del alcance de la masa crítica de usua- 
rios necesaria para convertir el plantea- 
miento idealista basado en el concepto de 
«hacker» en planteamientos de negocio 
mucho más sólidos que podemos encon- 
trar en la actualidad. 


Fernando Monera Daroqui 


clientes). 


Mastering Windows Server 2003 
by Mark Minasi (Editor), Christa Anderson, Michele Beveridge, C. A. Callahan, Lisa Justice 


Pocas veces se puede recomendar tan abiertamente un libro. Este es el caso de Mastering Windows Server 2003 por 
Mark Minasi et al. (Sybex 2004). 


Si usted es, o aspira a ser un Administrador o Consultor Windows, no busque más que “Mastering Windows Server 2003” 
de Sybex (en inglés). Aun ANAYA (quien sacó la traducción (hay que decir bastante pobre) al español del libro correspondien- 
te a W2000) aún no lo ha editado. Su cobertura es profunda, comprensible, imparcial y altamente “legible” (algunos incluso 
dirían “entretenida”).Su autor, Mark Minasi es una autoridad en el tema. Construido en la base de años de experiencia traba- 
jando y escribiendo sobre productos Windows, Minasi lo lleva a conocer las tecnologías sobre las que se basa Windows 2003 
Server (el sistema operativo de Microsoft que proporciona una solución para compartir archivos e impresoras, conectividad 
segura en Internet, el desarrollo de aplicaciones de escritorio centralizadas, y la colaboración entre negocios, empleados, y 


Secure/l105 


A COR rochasiogio: | Enterprise 


Advanced Security Enterprise 


- Consultoría - 


- Educación - 


http://www.securel05.com.ar 


¿QUIÉN PUEDE PROGRAMAR UNA APLICACIÓN, 


corregir errores, atender a un cliente, migrar una base de datos 
y documentar un sistema al mismo tiempo? Un desarrollador, 
por supuesto. 

¿Y quién puede ofrecerle una publicación para mantenerse actuali- 
zado, capacitarse, obtener recursos y conocer nuevas herramien- 
tas? USERS .CODE, por supuesto. 

Finalmente llegó la publicación que la comunidad de desarrollado- 
res estaba esperando, la revista que va a ocuparse de sus necesi- 
dades. Todos los lenguajes, todas las plataformas, proyectos, 
ejemplos, códigos, noticias, reviews, toolbox, white papers y las 
opiniones de los principales expertos. 


Con USERS .CODE los desarrolladores compartimos el mismo código. 
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SUSCRÍBANSE Y RECIBIRÁN CON CADA EDICIÓN DE 
USERS.CODE UN COMPLETO CD-ROM CON MATERIAL 
SELECCIONADO Y TESTEADO POR NUESTROS EXPERTOS: 


Aplicaciones | Demos | Compiladores | Librerías | Ejemplos | Código 


fuente | Cursos, videos y presentaciones | Y todas las herramientas 
que necesitan... 


A MP + Web: userstop tectimes.com IN A | Y ak Web: usershop.tectimes.com 
a ' Y ale Teléfono: (011) 4959-5000 WE MA ak Teléfono: (55) 5600-4815 
YA MM Ak Mail: usershopúDtectimes.com N 4 Ak Mail. usershopmxDtectimes.com 
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Unix, BSD y Linux 


De UNIX a BSD 


La historia del sistema UNIX data de los 
años 60, cuando los laboratorios Bell de 
AT8T y el fabricante de computadoras 
General Electric (GE) trabajaron sobre un 
sistema operativo experimental denomina- 
do MULTICS. MULTICS, de MULTiplexed 
Information and Computing System 
(Información multiplexada y sistema de 
computación) fue diseñado como sistema 
operativo interactivo para la computadora 
GE645, permitiendo compartir información 
al tiempo que proporcionaba seguridad. El 
desarrollo sufrió muchos retrasos, y las 
versiones de producción resultaron lentas 
y con grandes necesidades de memoria. 
Por una serie de razones, los Laboratorios 
Bell abandonaron el proyecto. Sin embar- 
go, el sistema MULTICS implementó 
muchas características innovadoras y pro- 


Ken Thompson y Dennis 


Ritchie, los años 70 


dujo un entorno de computación excelente. 


En 1969, Ken Thompson, uno de los 
investigadores de los Laboratorios Bell 
involucrado en el proyecto MULTICS, 
escribió un juego para la computadora GE 
denominado Space Travel. Este juego 
simulaba el sistema solar y una nave espa- 
cial. Thompson vio que el juego se ejecuta- 
ba a tirones sobre la máquina GE y resul- 
taba muy costoso -aproximadamente 75 
dólares por ejecución-. Con la ayuda de 
Denmnis Ritchie, Thompson volvió a escribir 
el juego para ejecutarse sobre un DEC 
PDP-7. Esta experiencia inicial le dio la 
oportunidad de escribir un nuevo sistema 
operativo sobre el PDP-7, utilizando la 
estructura de un sistema de archivos que 
habían diseñado Thompson, Ritchie y 
Rudd Canaday. Thompson, Ritchie y sus 
colegas crearon un sistema operativo mul- 
titarea, incluyendo un sistema de archivos, 
un intérprete de órdenes y algunas utilida- 
des para el PDP-7. Más tarde, una vez que 
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el nuevo sistema operativo se estaba eje- 
cutando, se revisó el Space Travel para 
ejecutarlo sobre él. Muchas cosas en el 


Licencia repartida en eventos por Digital 
Equipment Corporation (DEC) en los 
años 80. La historia es muy interesante 
y puede leerse en el siguiente link: 
http://www.unix.org/license-plate.html 


Sistema UNIX proceden de este simple 
sistema operativo. 

Puesto que el nuevo sistema operativo 
multitarea para el PDP-7 podía soportar 
dos usuarios simultáneamente, se le llamó 
humorísticamente UNICS de UNiplexed 
Information and Computing System 
(Información uniplexada y sistema de com- 
putación); el primer uso de este nombre se 
atribuye a Brian Kernighan. El nombre se 
cambió ligeramente a UNIX en 1970, y ha 
permanecido así desde entonces. 


Ken Thomson se unió a Dennis Ritchie 
quien escribió el primer compilador C. En 
1973 ellos rescribieron el Kernel de UNIX 
en C. Al siguiente año, una versión de 
UNIX conocida como  Fith 


del otro. Desde el punto de vista comercial 
fue System V quien ganó logrando estan- 
darizar gran parte del código. Y la mayor 
parte de los vendors 
adoptaron System V. 

Sin embargo, System V tomó muchísi- 
mas modificaciones aportadas por BSD. 
En síntesis el resultado fue una fusión de 
ambas ramas. La rama BSD no murió, por 
el contrario fue muy utilizada para la inves- 
tigación, implementada para hardware de 
PC y para servidores de un solo propósito 
(por ejemplo muchísimos web-servers » 


El Pasado de UNIX 


“...el número de instalaciones UNIX ha 
crecido a 10, se esperan más... * 

- Dennis Ritchie y Ken Thompson, Junio 
1972 

*... Cuando los laboratorios Bell se sepa- 
raron del proyecto, ellos necesitaron 
escribir un sistema operativo de modo de 
poder continuar jugando a “guerra de las 


galaxias” en una máquina de menores 
recursos (una DEC PDP-7 [Programmed 
Data Processor] con 4K de memoria para 
programas de usuarios). El resultado fue 
un sistema que fue bautizado por un 


colega como  UNICS  (UNiplexed 
Information and Computing System) — 
un “MULTICS mutilado”; nadie recuerda 
de quien fué la idea de llamarlo UNIX * 


Edition (quinta Edición) fue The Unix Family Tree 
licenciada las universidades. 
La Seventh-Edition (Séptima UNICS 
Edición), que aparece en 1978, (1969) 
sirvió como un punto de bifur- . l 1 
cación para el desarrollo de dos TS 
líneas de UNIX. Estas son 1 
conocidas como SRV5 (System Sixth Edition 
V) y BSD. Sept 
Seventh Edition 

De BSD a FreeBSD, (0079) 
NetBSD y OPenBSD pa ha 

La evolución de estas dos SVR5 BSD 
versiones de UNIX (System V y (1983) (1979) 
BSD), se realiza en forma muy PA (SUN) SunOS e (SUN) 
entrelazada. Fines del 80 y z 
comienzos del 90 vieron con- HP-UX (HP) YET UES) 
flictos entre estas dos divisio-  AIX (IBM) NextStep  (NeXT) 
nes. Después de muchos años, ¡px (sG1) 


cada variante había adoptado 
muchos de las características 


Digital UNIX (formerly OSF/1) 


(DEC) 


versiones diferentes de Unix, FET 
¿Cómo nace BSD? 


us FreeBSD NetBSD BBSD todas basadas en seventh edi- 
Restricted Free A 
tion. Muchas de estas eran pro- ! : 
1986 / pietarias y mantenidas por sus Durante un sabático realizado en la 
| 43P5D respectivos marcas de harware Universidad de California, Berkeley, Ken 
1988 ' Rough Timeline (ejemplo Solaris de Sun es una | Thomson introdujo UNIX, Ya en 1978, 
4.3 BSD Tahoe of 4BSD and its variante de System V). Tres  Sstudiantes de Berkeley habían comen- 
derivatives. versiones de la rama BSD de zado a producir versiones de Unix custo- 
1989 Si wktdles.adfa.oz.au Unix terminaron Open Source |Mizadas (BSD, Berkeley Software distri- 
Net/1 (código fuente abierta): |bution). Durante los 80, Berkeley manejó 
| FreeBSD (que se concentró en |Un contrato con el departamento de 
4.3 BSD Reno sencillez de instalación apun- defensa para incorporar TCP/IP en BSD y 
bh tando a la plataforma PC), Producir un sistema operativo estandari- 
1991 Na? NetBSD (se concentró en  |Zado para las computadoras del departa- 
. TO muchas diferentes arquitectu- Mento de defensa. Con la aparición del 
1998 S6sBeDOL ras), y una variante de NetBSD: |4.3BSD y del llamado Berkeley 
NA OPenBSD (concentrada funda- ¡Networking Release 2 tapes ("Net/2”), 
BSD AA mentalmente en seguridad). Berkeley había creado un sistema opera- 
/, WtBDOS tivo completo, independiente del codigo 
/  NetBSDO9 Referencias de Unix: de AT8T. 
" FreeBSD 10 William Jolitz comenzó portando BSD a la 
ÓN 4.4 BSD-Lih ibi 
y e | plataforma 386, escribiendo una serie de 
artículos para la revista Dr. Dobb's jour- 
. da nal. Este software fue llamado “386BSD”. 
—T A 386BSD 1.0 Para 1993, Jolitz había decidido detener 
1998 FreBSD20 NetBSDLO el trabajo en una versión mejorada de 


386BSD. Este fue el comienzo del BSD 
moderno en sus tres variantes: FreeBSD, 
netBSD y OpenBSD. 


utilizan algún derivado de BSD). 


El resultado fue la aparición de muchas http://www.datametrics.com/tech/unix/uxhi 


stry/brf-hist.htm, 
“The C Programming Language”. A medi- 


http://perso.wanadoo.fr/levenez/unix, y 
http://www.crackmonkey.org/unix.html. 


Una Breve historia sobre el len- 


guaje C 


El lenguaje de programación C, fue desa- 
rrollado en los Laboratorios Bell durante 
los primeros años de los 70. Surgió de un 
lenguaje de computadoras llamado B y de 
uno anterior BCPL. Inicialmente fue intro- 
ducido para el desarrollo del sistema ope- 
rativo (SO) UNIX. Pero, luego se expandió 
su uso a diferentes SOs. La versión origi- 
nal de C se conoció como C K8R por 
Kernighan and Ritchie autores del libro 


MEJOR ATENCION 
MEJOR PRECIO 
MEJOR SERVICIO 


Sucursales 


da que el lenguaje se desarrollo y estan- 
darizó, se hizo dominante una versión 
conocida como ANSI (ANSI (American 
National Standards Institute) C. Si estudia 
este lenguaje sepa que se encontrará con 
referencias como C K8áR o ANSI C. 
Aunque ya no es el lenguaje más popular 
para nuevos desarrollos, aún se usa para 
algunos SOs, programación de protocolos 
de red y sistemas embebidos. Más aún, es 
mucho el software “legacy” programado en 
C y que debe ser mantenido 


SERVICIOS INFORMATICOS 
ESPECIALIZADOS PARA EL GREMIO 


* Instalación y conectorización Fibra Optica 
para interior y exterior, con tecnología AMP Netconnect. 


Mucha más información sobre la historia 
de Unix se puede hallar en un trabajo de 
Kusick 1999 y 

ftp://ftp.freebsd.org/pub/FreeBSD/FreeBS 
D-current/src/share/misc/bsd-family-tree. 


LINUX 


Linux nace con la tesis de Maestría que 
desarrolla Linus Torvalds en Helsinki, 
Finlandia en 1991. Para ese momento » 


* Certificación de cableado estructurado en cobre y fibra: 
Categorías 5, Se y 6, con tecnología FLUKE 

* Data Recovery: Servicio de recuperación de datos, 

con absoluta confidencialidad 


ESTUDIO DE INFORMATICA - Ing. Gustavo Presman 


Lambaré 895 PB Dto. 3 - C1185ABA BUENOS AIRES 
Tel/fax: 4865-6539 - http://www.presman.com.ar - estudioMpresman.com.ar 


Viamonte SOS 
Telefono: 4322-0707 
Email: via(Wofficeandco.com.ar 


Lavalle 436 
Telefonos: 4328-0522/4824/9137 


Email: lavalle(Gofficeandeo,com.ar 


HACEMOS TRABAJOS EN TODO EL PAIS Y EN EL EXTERIOR 


la Free Software Foundation (FSF) había 
desarrollado una serie de 
aplicaciones/librerías para Unix. Con ese 
material y otros componentes (en particu- 
lar algunos componentes de BSD y del 
software X-Windows desarrollado en el 
MIT) se produjo un sistema operativo libre 
de ser modificado y muy útil. Es decir, se 
combinó el “Linux Kernel” de Linus 
Torvalds con lo aportado por el proyecto 
GNU, para crear el sistema operativo 
“Linux”, también llamado GNU/Linux. 
Dentro de la comunidad Linux, se combi- 
naron de forma diferente componentes dis- 


Qué hace de OpenBSD el 
Sistema Operativo más seguro 
del mundo? 


Sólo una vulnerabilidad (“remote 
hole”) en la instalación por defecto 
en más de 8 años! 


5% mistis | OpenBSD (ver web 
: Ea) www.openBSD.org) 
es un sistema operativo desarrollado con- 
forme a los estándares de Unix. Está 
basado en BSD 4.4, lo que implica más de 
25 años de evolución continua y madura- 
ción. Pero es más conocido por la siguien- 
te frase: “OpenBSD es el sistema operati- 
vo más seguro del mundo” 
Gracias al proyecto OpenBSD podemos 
disponer de un sistema operativo similar a 
Unix, robusto, funcional, seguro y libre. 
Basándose en el código de NetBSD, Theo 
de Raadt fundó el proyecto OpenBSD en 
1996. Así comenzó con lo que sería la 
auditoria más grande del mundo, para 
hacer de OpenBSD el sistemas operativo 
más seguro que haya existido sobre el 
planeta. Luego de un estudio riguroso del 
código se lo optimizó para segurizarlo y se 
le integró criptografía. OpenBSD fue con- 


Agosto de 1991 


“Hello everybody out there using Minix”... 
estoy escribiendo un sistema operativo (gra- 
tis), (solo es un hobby, no va a ser grande y 
profesional como GNU), para clones AT 386 
y 486. Se ha estado cocinando desde abril y 
está empezando a quedar terminado. Me 
gustaría recibir algún feedback sobre cosas 
que a la gente le gusta o disgusta de Minix, 
como mi SO se le parece un poco ( la misma 
disposición física del sistema de archivos 
(por razones prácticas) entre otras cosas. 


Hasta ahora he migrado bash (1.08) y gcc 
(1.4), y las cosas parecen funcionar. Esto 
implica que voy a obtener algo práctico en 
pocos meses y me gustaría saber qué carac- 
terísticas desea la mayoría de la gente. 
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cebido para ser seguro desde su naci- 
miento. 

Se jacta de no tener agujeros en su insta- 
lación por defecto (1 en 8 años!!) y de los 
pocos recursos de hardware necesarios 
para correr. Y con razón: durante años su 
instalación no tuvo vulnerabilidades remo- 
tas y requiere solamente una 486 con 16 
MB de RAM para funcionar. Además, 
toma minutos instalarlo. 

El desarrollo de OpenBSD se concentra 
en la corrección de código, la seguridad 
proactiva y la criptografía, características 
que lo transforman en un OS excelente 
para entornos donde la seguridad es vital. 
Por no estar atado a compromisos comer- 
ciales como los OSs propietarios pueden 
implementar características de seguridad 
de manera mucho más rápido. Además 
fue el primer OS que incluyó lPsec (desde 
la versión 2.1 en 1997), es prácticamente 
imposible generar un buffer overflow en él 
(por su sano código) e incorpora criptogra- 
fía desde las raíces más hondas del siste- 
ma entre otras características de seguri- 
dad. 


Recomendamos leer el artículo de Luciano 
Bello (IbellofWsistemas.frba.utn.edu.ar) que 
está disponible en 
http://www.lucianobello.com.ar/a_secure_os.ht 
ml 


Todas las sugerencias son bienvenidas, 
pero no prometo que las vaya a implementar 


:-). 
Linus (torvaldsGHkruuna.helsinki.fi) 


PD: Sí, está libre de todo código Minix y 
tiene un sistema de archivos Multi-threaded. 
No es portable (usa el cambio de tareas del 
386 etc, y probablemente nunca de soporte 
a nada más que a los discos rígidos para AT, 
porqué eso es todo lo que tengo:-). 


Lo anterior es la primera mención de 
LINUX en la red. Es el mensaje en el 
que Linus Torvalds avisó que estaba 
desarrollando su SO sin darse cuenta 
el impacto que en pocos años causaría. 


“distribución”. Ejemplos de organizaciones 
que realizan tales distribuciones son: Red 
Hat, Mandrake, SuSE, Caldera, Corel, y 
Debian. 

Existen diferencias entre ellas, pero se 
basan en los mismos pilares: el Kernel 
Linux y las librerias glibc de GNU. Como 
ambas están cubiertas por licencias tipo 
“copyleft”, los cambios son realizados por 
todas las distribuciones. Esto ha creado 
una fuerza unificadora que no existe entre 
BSD y los UNIX derivados de AT48.T. 

Hugo Cela - Consultor IT 


¿Qué es Miínix? 


Minix es un clon UNIX que está accesi- 
ble con todos sus códigos fuente. Debido 
a su pequeño tamaño, un diseño basado 
en micro-kernel y amplia documentación, 
es muy apropiado para quienes quieran 
correr un sistema operativo tipo-UNIX en 
su computadora personal y aprender 
cómo funcionan estos sistemas operati- 
vos. Es posible para alguien que no está 
familiarizado con detalles de sistemas 
operativos poder comprender casi todo el 
sistema en pocos meses de uso y estu- 
dio. MINIX fue escrito desde cero y no 
contiene ningún código de AT8T. Ni en el 
kernel, compilador, utilidades o librerías. 
Por esta razón las fuentes completas 
están disponibles vía ftp o WWW. 

Minix fue escrito alrededor de 1987 por 
Andrew Tanenbaum, académico de la 
Vrije Universiteit, Amsterdam, Holanda. 
Referimos al lector al excelente libro de 
Tanenbaum: Operating Systems: Design 
and Implementation, ISBN _0-13-637331- 
9% 

Una versión reducida en 12.000 líneas de 
código, mayormente escritas en C (del 
kernel, administrador de la memoria y el 
file system) están contenidas en este 
libro. 


El desarrollo de linux estuvo influenciado 
por Minix. Al momento de su desarrollo 
por Linus Torvalds, la licencia de Minix 
era considerada muy liberal, con un costo 
de licencia muy reducido (casi formal) en 
comparación con otros sistemas operati- 
vos competencia. Sin embargo, debido a 
no ser completamente Open Source, 
esfuerzos de desarrollo se volcaron a los 
Kernels de Linux y FreeBSD. A fines de 
los 90, la licencia de Minix fue convertida 
a Open source, pero ya eran muy pocos 
los involucrados en su desarrollo. 


Recomendamos ver el sitio WEB de 
Andrew S Tanembaum 


http://www.cs.vu.nl/-ast/minix.html 


FreeBSD y NetCraft 


A FreeBSD muchas veces no se lo considera 
al momento de comparar sistemas operativos y 
su vigencia e impacto. Sin embargo está muy 
arraigado dentro de la comunidad de hosteado- 
res y sigue creciendo. Ha estado ganando cerca 

de un millón 

Tos PP Preaders -— does 700 de hostna- 
a mes y más de 

medio millón 

de sitios acti- 
vos desde 
Julio de 2003. 
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Welcome to The NetBSD Project 
“Of course ít runs NetBSD.” 


Y y 


NetBSD 


Alrededor de 
1993, While 
Jolitz y otros 
colaboradores 
estaban enfo- 
cados en 
3/8/16 B 5D. 
Otros, comen- 
zaron a impacientarse con el lento progreso que 
presentaba el desarrollo del sistema operativo y 
tomaron partido por comenzar un desarrollo 
paralelo tomando lo que originalmente fuera el 
proyecto 386BSD y el recientemente lanzado 


La historia de FreeBSD y porqué 
no está tan difundido como 
Línux. 


Uno de los primeros proyectos de siste- 
mas opera- 
tivos Open 
Source fue 
FreeBSD. 
Es un descendiente directo del proyecto 
open source original BSD (Berkeley 
Software Development) escrito por la 
Universidad de Berkeley. 

En la actualidad existen tres diferentes 
derivados de BSD: NetBSD, OpenBSD y 
FreeBSD. 

El sistema operativo de Apple OS X 
(Darwin) está basado en FreeBSD. 

El proyecto FreeBSD está realizado por 
una organización sin fines de lucro y por 
voluntarios. No tiene un gran presupuesto 
y por ende no realiza investigaciones 
sobre cuánto es usado. Pero, sí se puede 
decir que tiene gran difusión en la industria 
del web-hosting, especialmente en el seg- 
mento de servidores en cluster. 

De acuerdo al Open Source Development 
Labs (OSDL) FreeBSD está en un camino 
diferente al de Linux. El crecimiento de 
FreeBSD no es a expensas de Linux. 


hrs ee reta 


FreeBSD 


Proc BSD: The Power la Servo 


Hoy existen cerca de 2.5 millones de sitios 
activos que corren bajo FreeBSD. 


La razón es que FreeBSD es utilizado por ope- 
radores de proveedores de hosting compartido, 
donde miles o aún cientos de miles de sitios se 
administran colectivamente como parte de un 
solo sistema. 


FreeBSD ha sido sinónimo de hosting comparti- 
do en gran escala desde el nacimiento de la 
web y continúa su relación simbiótica con las 
compañías más grandes como se puede ver en 
la figura. 


Net/2 para portarlo a la plataforma Macintosh. 
Pronto, derivó en un esfuerzo extra para portar- 
lo también a plataformas Atari ST, Amiga y PC 
1386. 

El desarrollo normal del proyecto encontró 
muchos seguidores y generó un crecimiento tan 
grande de NetBSD que prontamente quedó 
claro qué lugar ocuparía cada uno: FreeBSD 
quedaría preparado y disponible para platafor- 
mas ¡386 y NetBSD lo haría con las plataformas 
restantes. 

Actualmente la focalización de NetBSD apunta 
a proveer un sistema multiplataforma y estable 
orientado a la investigación. La portabilidad de 
esta versión está asegurada merced a las 33 
plataformas en las que puede encontrarse fun- 
cionando y su efectividad queda demostrada 
cuando además de las plataformas disponibles 
nos encontramos con una versatilidad técnica 
que lo coloca en igualdad de condiciones entre 
los modernos equipos con la más alta tecnolo- 
gía y sobre arquitecturas de equipos Intel, 


Linux ha heredado un gran número de su 
código de BSD. 

Aunque la comunidad BSD ha estado más 
tiempo funcionando, es hoy una comuni- 
dad más pequeña que Linux. La razón: la 
fragmentación de la comunidad UNIX y el 
tipo de licencia. 

Aunque la licencia FreeBSD es sencilla de 
implementar, la licencia GPL (usada por 
Linux) crea una sensación de comunidad. 
GPL y las licencias relacionadas han sos- 
tenido unida a la comunidad garantizando 
una continuidad del código. 

La actividad de la comunidad alrededor de 
Linux a finales de 1990 y el soporte de 
parte de empresas de sistemas y grandes 
empresas de desarrollo de software ha 
gestado grandes mejoras en Linux. Por 
ejemplo mejoras de linux en symmetric 
multiprocessing (SMP) virtual memory, 
asynchronous l/O, un “native POSIX thre- 
ad library”, y otras mejoras, junto al sopor- 
te de multiples marcas hizo a FreeBSD 
una elección menos tentadora para gran- 
des cargas de trabajo empresarial. 

Sin embargo, FreeBSD permanece siendo 
un bastión en la infraestructura que man- 
tiene funcionando a Internet. Dice el fun- 
dador de ISC (Internet System 
Consortium) , el grupo que produce BIND 
(la herramienta dominante de Internet): 


Más de la mitad de los sitios hosteados bajo 
FreeBSD están en una de las 20 más grandes 
empresas proveedoras de hosting y mucho del 
incremento ha sido debido a el hosting ofrecido 
por Yahoo. Yahoo tiene gran conexión con el 
proyecto FreeBSD y le ofrece hosting a los ser- 
Vidores lA cagar tinas is inca 

dos al pro- 


Alpha o SPARC debiendo sumar a esto la posi- 
bilidad de utilizarlo también en plataformas más 
antiguas como DEC VAX o Apple Macintosh 
con procesadores Motorola 68K. 

Además, como todo puede utilizarse una y otra 
vez, sirvió de base para la generación del 
esquema de portación de FreeBSD a la plata- 
forma Alpha. 

Con esto en carrera, el desarrollo de NetBSD 
no podía hacer más que brindar orientación y 
conocimiento a otro seguidor de reciente apari- 
ción: Linux. 

Linux, tal y como lo conocemos hoy, se apoyó 
en el sistema de arranque de NetBSD para la 
plataforma Macintosh 68K y desarrolló lo que 
luego sería el sistema de arranque que permite 
iniciar una distribución de Linux en dicha plata- 
forma. Pero fundamentalmente el sistema ope- 
rativo que se vio más beneficiado con la imple- 
mentación de NetBSD fue sin lugar a dudas 
OpenBSD para el que puede decirse se trató de 
un verdadero trampolín. 


“Por un lado aplaudo a Linux por aparecer 
tarde al juego y creando una industria 
robusta basada en conceptos Open 
Source”. 

“Aún más, ISC  hostea el servidor que 
distribuye el Kernel Linux (kernel.org) 
como un modo de ayudar a la comunidad 
Linux a continuar su impulso”. Por otro 
lado usamos FreeBSD exclusivamente 
para el f-root (ver 
http://www. isc.org/index.pl?/ops/f-root) 
(ahora en 21 ciudades, usualmente con 
tres servidores por ciudad) y todos nues- 
tros otros servidores y desarrollo interno” 
“Nos gusta la edad de la plataforma. BSD 
ha existido desde los fines de los 70 y 
FreeBSD es extremadamente refinado y 
maduro”. 

El ISC también hostea el proyecto NetBSD 
completo, un espejo de OpenBSD y el 
unico espejo disponible FreeBSD bajo 
Ipv6. En síntesis FreBSD es una parte crí- 
tica de la infraestructura de ISC. 

Como resultado de un trabajo acumulativo 
de años, FreBSD ha liberado recientemen- 
te su versión 4.10. 

FreBSD 5.x es un desarrollo con nueva 
tecnología y se espera que sea la nueva 
versión estable de FreeBSD pronto (llama- 
da FreeBSD 5-STABLE). 
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Certificaciones Cisco 


Hoy es cada vez mayor la necesidad de certificarse en áreas específicas del mundo IT, para 
acreditar en forma fehaciente los dominios adquiridos a partir de una capacitación adecuada. 


Introducción 


Podemos conocer mucho sobre tal 
dispositivo o tal tarea a realizar pero es impor- 
tante demostrarlo concretamente y de una forma 
inequívoca. A la hora de postularse para un 
empleo es cierto que corren con más ventaja 
aquellas personas que, en igualdad de condicio- 
nes, poseen certificaciones otorgadas en fun- 
ción de los conocimientos adquiridos. La reali- 
dad es que cada vez se presentan más exigen- 
cias a la hora de seleccionar personal dada la 
cantidad creciente de personas que poseen cer- 
tificaciones. Las empresas exigen más y más 
conocimientos hasta el punto que el que más 
sabe, gana. En todo orden siempre ha sido. así. 
Hace casi diez años, saber utilizar Windows 95 
era conveniente para postularse en los primeros 
lugares de la búsqueda laboral, y se corría con 
ventaja frente a quienes todavía utilizaban 
Windows 3.1. 

Hoy se plantean alternativas muy 
similares pero a distinta escala. Certificaciones 
como MCSE son casi siempre solicitadas por 
empresas que tienen su infraestructura bajo sis- 
temas operativos de Microsoft. Hoy ya no basta 
con conocer a fondo un producto, un sistema 
operativo o una tarea específica. Es también 
importante, demostrar tener un conocimiento 
global del tema. Esto en cierta medida garantiza 
a un empleador que poseemos ciertos conoci- 
mientos que él puede verificar, conociendo los 
contenidos que plantea la certificación. 


Tal vez conozcamos un sistema ope- 


rativo por haber trabajado con él administrando 
cuentas de usuarios y automatizando las opera- 
ciones de backup, pero jamás haber tenido 
oportunidad de trabajar con él en el área de 
impresión. Por tal motivo, las certificaciones 
avalan un conocimiento completo contemplando 
temas que son comunes para todos aquellos 
que la hayan obtenido. Podremos saber más de 
lo que propone la certificación pero no menos 
para obtenerla. Con esto un empleador se ase- 
gura de que, conociendo la certificación, sea- 
mos aptos o no para realizar una tarea en parti- 
cular. Ser certificados demuestra nuestro interés 
y esfuerzo en permanecer actualizados en tec- 
nologías tan cambiantes. Esto nos reportará 
beneficios a nosotros y a la empresa que nos 
desee emplear o donde estemos trabajando. 


Certificaciones de CISCO Systems 


Desde fines de la década del “90 la 
empresa estadounidense Cisco Systems, líder 
en productos y servicios de networking, desarro- 
lla un plan de estudios para capacitarse en dife- 
rentes áreas de la tecnología de networking. 
Lanzado primero en Estados Unidos, el CNAp, 
siglas de Cisco Networking Academy program, 
propone una serie de carreras certificables para 
adquirir conocimientos específicos en el área de 
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tecnología de redes. La idea siempre es capaci- 
tar profesionales que sean aptos para el mante- 
nimiento, diseño e implementación de redes con 
diferentes niveles de complejidad basadas en 
tecnologías Cisco. No se trata de capacitación 
sobre productos exclusivamente ya que los fun- 
damentos deben ser los mismos sea cual fuere 
la marca utilizada. 


Argentina fue el primer país fuera de 
Estados Unidos en lanzar el CNAp a partir de la 
selección, por parte de Cisco Systems, de 
Fundación Proydesa como Academia 
Regional, una ONG que desde 1989 viene 
implementando tecnología aplicada a la educa- 
ción. A través de convenios con empresas pro- 
pietarias de contenidos, Proydesa se encarga 
del área educacional de las mismas. Desde el 
año 1998 Fundación Proydesa mantiene un 
acuerdo con Cisco Systems para desarrollar el 
Cisco Networking Academy program en 
Argentina. Fundación Proydesa es la Regional 
Academy de CNAp para la región comprendida 
por Argentina, Bolivia, Paraguay, Perú y 
Uruguay. En Argentina existen 41 Academias 
que, coordinadas por Fundación Proydesa, 
desarrollan algunas de las carreras que propone 
el CNAp. 

Mantuvimos una entrevista con el Sr. 
Oscar Gerometta, quién se autodefine como 
“instructor de instructores” (pues se dedica entre 
otras cosas a la capacitación de instructores de 
las diversas carreras), que nos proporcionó 
información acerca de las carreras que pueden 
cursarse en Fundación Proydesa y demás aca- 
demias. 


CNAp plantea una serie de carreras 
certificadas que conducen hacia la certificación 
máxima otorgada por la empresa: Cisco 
Certified Internetwork Expert o simplemente 
CCIE. Como comentaremos más adelante, para 
certificarse como CCIE no es necesario cursar 
ninguna carrera. CCIE es la cima de una pirámi- 
de de estudio cuyas bases se fundan en conoci- 
mientos básicos y avanzados. 


Carreras de nivel asociado 


Las bases de estudio de esta pirámi- 
de plantean conocimientos básicos de networ- 
king en general. 


Cisco Certified Network Associate 
(CCNA) 


CCNA se plantea como una de las 
posibles bases de estudio para alcanzar certifi- 
caciones de orden superior. Un profesional cer- 
tificado como CCNA se encuentra en condicio- 
nes de instalar, configurar y operar redes de 
área local (LAN) y de área amplia (WAN) de 
mediana envergadura. 


Figura 1. CCNA 

CCNA es la única carrera disponible 
en todas las academias de la región. Una de las 
ventajas de esta carrera es que no requiere 


conocimientos previos, aunque sí es convenien- 
te poseer un manejo básico de computadoras. 
La carrera completa consta de cuatro módulos 
teórico-prácticos de un semestre cada uno coor- 
dinados por un instructor preparado para tal fin. 
Con cada módulo completado se recibe un cer- 
tificado en el cual consta el nivel aprobado. Una 
de las características de esta modalidad de 
estudio es que uno puede comenzar un módulo 
en una academia, finalizarlo y continuar el 
siguiente en otra, en otro momento y en cual- 
quier lugar del mundo donde se dicte la carrera 
ya que es de nivel internacional. Posee material 
de estudio al cual se accede conectado a 
Internet mediante autenticación con un nombre 
de usuario y contraseña que posee cada alum- 
no de la academia. 


Debemos aclarar que la certificación 
obtenida al cabo de cada uno de los cuatro 
semestres es de nivel internacional. En 
Argentina puede obtenerse una certificación de 
nivel internacional a través de testing centers 
como Virtual University Enterprises (VUE) o 
Prometric. Existe un acuerdo entre VUE y 
Fundación Proydesa por el cual sólo aquellos 
alumnos que hayan cursado en alguna de las 
Academias de la red, podrán rendir su examen 
de certificación en Fundación Proydesa. 

Es interesante destacar que, si bien el 
alumno escoge el testing center que prefiera 
para rendir su examen de certificación, 
Fundación Proydesa pone a disposición —sólo 
para aquellos alumnos que hayan cursado en 
Academias de la red— dos modalidades de fes- 
ting centres, fijo o móvil: Aquellos alumnos resi- 
dentes en Buenos Aires y alrededores podrán 
rendir las certificaciones del programa en 
Fundación Proydesa o tendrán la posibilidad de 
hacerlo en cualquier otro testing center y aque- 
llos que residan en el interior del país tendrán la 
posibilidad de que se les acerque el testing cen- 
ter a la Academia Local de la red donde estudió 
el alumno o por supuesto en cualquier otro » 


testing center autorizado . En este punto debe- 
mos aclarar que no es necesario haber cursado 
en una academia para poder presentarse a ren- 
dir el examen de certificación CCNA. 

El Sr. Gerometta nos decía que “si 
bien el examen CCNA no requiere experiencia 
previa, corre con ventaja el que cursó en una 
academia para rendir el examen de certifica- 
ción”. El examen de certificación CCNA consta 
de un único examen teórico en el cual coexisten 
instancias prácticas desarrolladas en software 
simuladores, descripción de casos y se pide su 
resolución. El examen incorpora preguntas que 
para responderlas es recomendable haber 
ensayado sobre dispositivos directamente, por 
tal motivo es aconsejable cursar previamente los 
cuatro módulos en una academia. 

Para aquellos alumnos que hayan cur- 
sado CCNA en una academia oficial y desean 
prepararse para el examen de certificación inter- 
nacional, Proydesa ha desarrollado Fast Track 
(cuya traducción literal sería seguimiento rápi- 
do). Fast Track no se define como una carrera 
sino como un acompañamiento intensivo que 
ayuda a la preparación del examen de certifica- 
ción que, a través de la guía de un instructor, se 
despejan dudas y se aclaran conceptos simu- 
lando exámenes similares al de certificación. No 
se aprenden conceptos nuevos, lo que se busca 
es adquirir detalles y precisiones necesarias 
para llevar adelante el examen. *“.. en Fast 
Track no venimos a aprender networking, supo- 
nemos que ya sabemos y venimos a refrescar 
conocimientos, a sacarnos dudas”, dice 
Gerometta. 

La certificación CCNA internacional 
debe revalidarse cada tres años. 


Otra de las carreras de nivel asociado 
que pueden certificarse para llegar a un nivel 
superior es CCDA. Los profesionales certifica- 
dos CCDA se encuentran aptos para el diseño 
de infraestructuras de redes enrutadas y conmu- 
tadas. Si bien esta carrera no supone conoci- 
mientos previos, para certificarse es necesaria 
una base de conocimientos como los adquiridos 


en CCNA. Por tal motivo para ascender en la 
pirámide y adquirir una certificación de orden 
superior puede obtenerse tanto la certificación 
CCNA o CCDA, ya que ambas poseen los mis- 
mos fundamentos básicos. Esta carrera no se 
puede cursar pero sí certificar en Argentina a 
través de un testing center autorizado. La forma 
de prepararse para obtener la certificación es 
mediante auto-estudio con bibliografía adecua- 
da, aunque Fundación Proydesa desarrolló una 
carrera a nivel nacional, Network Design 
Program (NDP), cuyos contenidos se encuen- 
tran al nivel de los requeridos para obtener la 
certificación CCDA. 

Figura 2. CCDA 


Estas carreras suponen un nivel de 


conocimiento mayor que el obtenido en el nivel 
asociado. Estas carreras se ubican como 
segundo escalón de la pirámide de estudios. 


SS 


CCNP es la única carrera de nivel pro- 
fesional que puede cursarse y certificarse en 
Argentina, aunque sólo en algunas academias. 
CCNP consta de cuatro módulos de un semes- 
tre cada uno de los cuales se evalúan niveles 
avanzados de conocimientos en áreas específi- 
cas tales como enrutamiento avanzado, conmu- 
tación avanzada, procesos de acceso remoto y 
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resolución de fallos de nivel 2 y 3 adquiriéndose 
un nivel de detalle mayor que en CCNA y desa- 
rrollando técnicas aplicables a redes de mayor 
envergadura. Una de las ventajas de CCNP es 
que cada módulo puede no ser correlativo, 
pudiéndose cursar cada uno de ellos en diferen- 
te orden debiendo quedar el cuarto obligatoria- 
mente en última instancia. Para acceder a 
CCNP, es condición indispensable ser CCNA en 
primer lugar. 

La certificación internacional CCNP 
consta en principio de cuatro exámenes teóri- 
cos, uno por cada módulo en cuestión, que pue- 
den tomarse en cualquier orden. Existe una 
variante de rendir sólo dos exámenes, uno que 
engloba los primeros tres módulos CCNP y otro 
que abarca los temas del cuarto módulo. Todos 
los exámenes son certificables en Argentina a 
través de los testing centers citados anterior- 
mente. 

Figura 3. CCNP 


CCDP supone un conocimiento avan- 
zado en el área de diseño de redes de área local 
y área amplia aplicando prácticas de diseño 


modular asegurando soluciones óptimas para 
las necesidades técnicas y comerciales. A pesar 
de que para obtener la certificación CCDP, un 
profesional deber ser previamente certificado 
CCNA o CCDA, esta carrera no se puede cursar 
pero sí certificar en Argentina a través de un 
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testing center autorizado. La forma de preparar- 
se para obtener la certificación es mediante 
auto-estudio con bibliografía adecuada. Los 
exámenes de certificación son tres, pudiéndose 
rendir uno que abarque dos módulos y otro, el 
restante. 

Figura 4. CCDP 

Cisco Certified 


Professional (CCSP) 


Security 


CCSP indica un nivel avanzado en 
seguridad de redes Cisco. Un profesional certifi- 
cado como CCSP se encuentra apto para ase- 
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gurar y administrar infraestructuras de redes 
para mejorar la productividad y reducir costos. 
El contenido de CCSP incluye seguridad peri- 
metral, redes privadas virtuales, protección de 
intrusiones y la combinación de estas técnicas 
para lograr una solución de seguridad integrada. 
La certificación CCSP requiere ser certificado 
CCNA o CCIP, que veremos a continuación. Los 
exámenes de certificación son cinco, uno por 
cada módulo, no pudiéndose rendir agrupados. 
Otra vez, a pesar de no poder cursarse una 
carrera que desarrolle los temas requeridos 
para preparar el examen de certificación, en 
Argentina sí se puede certificar a través de los 
testing centers autorizados para tal fin, debién- 
dose preparar el examen con bibliografía ade- 
cuada. 

Figura 5. CCSP 

Cisco Certified 


Professional (CCIP) 
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Figura 6. CCIP 


CCIP es una certificación que provee 
habilidades para el trabajo en organizaciones 
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proveedoras de servicios (ISP) con competen- 
cias en la solución de networking de infraestruc- 
tura de redes IP, incluyendo calidad de servicio, 
redes conmutadas multicapa, enrutamiento IP 
avanzado, etc. Es una certificación que requiere 


ser certificado CCNA previamente. Los exáme- 
nes de certificación son cuatro, pudiéndose ren- 
dir uno que agrupe dos módulos y los otros dos 
exámenes por separado. Respecto a la certifica- 
ción en Argentina, es lo mismo que para los 
otros exámenes de certificación. 
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SoftVirtual 


WEB HOSTING 


Planes a la medida 


de sus necesidades 


Carreras de nivel experto 


Cisco Certified Internetwork Expert 


(CCIE) 
Figura 7. CCIE 


Y llegamos a la cúspide de la pirámi- 
de de estudios, hacia la cual conducen todos los 
caminos tomados. 

CCIE es la certificación de alto nivel 
más respetada, reconocida mundialmente como 
un “doctorado” de networking. Según Cisco, 
menos del 3% de la cantidad de profesionales 

certificados llega a 


Ja, ser CCIE. No pode- 
Lv ) mos saber con certe- 
Y Y za cuántos CCIEs 
y SS) NM hay en Argentina ya 
Y, EN que muchos de ellos 
» ¿e seguramente traba- 
DU jan en el exterior, 


aunque sería más 
correcto preguntarse cuántos CCIEs argentinos 
hay. Una cifra tentativa podría indicar que la 
cantidad de profesionales CCIE argentinos no 
supera los 15. 

Anteriormente dijimos que no era 
necesario cursar ninguna carrera para certificar- 
se como CCIE, esto es así pues es considerada 
como una certificación de  auto-estudio. 
Certificarse como CCIE no involucra haber cur- 
sado ninguna cantidad de tiempo ni haber obte- 
nido una certificación de orden asociado o pro- 
fesional. 

Uno puede pagar los exámenes y rin- 
diéndolos correctamente, obtener la certifica- 
ción. Pero esto no es tan así, pues dichos exá- 
menes involucran conocimientos de tan alto 
nivel que los postulantes generalmente poseen 
certificaciones de niveles inferiores al CCIE. Si 
bien no es imprescindible, es altamente reco- 
mendable haber cursado carreras anteriores. 
Según Cisco, la mejor preparación es la expe- 
riencia, recomendando de 3 a 5 años mínimos 
antes de presentarse. 


No existe una única rama de especia- 
lización CCIE ; según la trayectoria segui- » 


MySQL 


E-mail - Webmail - E-commerce - Dominios desde U$S 8,95 


www.softvirtual.com.ar - infoODsoftvirtual.com.ar 


da, existen especializaciones en el área de con- 
mutación y enrutamiento, proveedor de servi- 
cios, seguridad y tecnologías de voz sobre IP. 

La instancia de certificación CCIE 

abarca dos exámenes : uno teórico y uno abso- 
lutamente práctico. 
El examen teórico puede ser certificado en 
Argentina a través de festing centers autoriza- 
dos como VUE o Prometric. Su valor ronda los 
US$ 300 y consta de unas 100 preguntas apro- 
ximadamente que se deberán contestar en un 
tiempo inferior a los 120 minutos. En caso de 
resultar desaprobado, podrá darse nuevamente 
esperando al menos 72 horas entre intentos. 
Dentro de los 18 meses de haberse aprobado el 
examen teórico deberá intentarse dar el examen 
de carácter práctico. 

El examen práctico consta de dos eta- 
pas : una de configuración de dispositivos según 
un laboratorio armado para tal fin y otra etapa 
donde se deben detectar fallas causadas inten- 
cionalmente y corregirlas. Todo esto supone una 
permanencia de 8 horas de laboratorio. El único 
prerrequisito es haber aprobado la instancia teó- 
rica para poder presentarse al examen práctico. 

El examen práctico no se puede rendir 
en Argentina. Según la especialización elegida, 
existen sedes en Brasil y Estados Unidos. Su 
costo ronda los US$ 1250 sin incluir gastos de 
pasaje y estadía, cuyo precio se deberá ajustar 
según el concepto de impuestos locales. La cer- 
tificación CCIE es la única que requiere un exa- 
men de carácter práctico para lograrla. 

En Argentina, Cisco montó un labora- 
torio para aquellos que se postulen a CCIE y 
deseen entrenarse. La condición para asistir es 
haber aprobado el examen teórico. 


Son módulos autónomos que permi- 


ten desarrollar aptitudes en áreas específicas. 
No llegan a ser carreras dada su corta duración. 
Entre las certificaciones se encuentran: telefo- 
nía IP, tecnologías ópticas, medios de almace- 
namiento de red, redes inalámbricas, seguridad 
y VPNs, etc. 


Figura 8. Cisco Qualified Specialist 
En Fundación Proydesa y demás 


CABLES STANDAR Y A MEDIDA 
[ESTABILIZADORES - UPS - TRANFORMADORES 


WWW. CABLESPC.COM 


floridaMcablespc.com.ar 
FLORIDA 537 Gal. Jardin 1* Piso 
Local 491 - Tel/fax: 4393-1935 - 4326-9008 


Insumos y Partes para PC 


D SPOSITIVOS DE CONEXIONES ESPECIALES 
CONECTORES-ADAPTADORES | 
¡ 


Academias Locales se desarrollan otras carre- 
ras de uno o dos módulos semestrales surgidas 
por convenios con otras empresas propietarias 
de contenidos. Estas empresas auspician el 
desarrollo de los respectivos contenidos. Entre 
ellas se encuentran: 


>>Fundamentals of Unix y Fundamentals of 


Java Programming. 

>>IT Essentials | Hardware 8 Software y IT 
Essentials Il Network Operative Systems 
cuyos contenidos son sponsoreados por 
Hewlett-Packard. 

>>Linux Systems Administration cuyos con- 
tenidos son sponsoreados por Red Hat. 
>>Fundamentals of Voice and Data Cabling 
sponsoreada por Panduit. 

>>Administración de base de datos Oracle 
sponsoreada por Oracle University. 

>>Network Design Program y Enterprise 
Security 8 Risk son dos carreras desarrolladas 
integramente por Fundación Proydesa sin spon- 
sor de empresas que, a través del Consejo 
Profesional de Ingeniería de 
Telecomunicaciones, Electrónica y Computación 
(COPITEC), puede obtenerse una certificación 
de carácter nacional. Ambas poseen los conteni- 
dos apropiados para presentarse a rendir las 
certificaciones internacionales CCDA y 
CompTIA Security + respectivamente. 
>>Fundamentals of Wireless LAN, de reciente 
aparición, esta carrera brinda los conocimientos 
requeridos para obtener la certificación Wireless 


-181x] 


Lan Specialist, módulo autónomo Cisco 
Qualified Specialist. 


Nota: Las ilustraciones son propiedad 
exclusiva de Cisco Systems 


Para mayor información visite www.cisco.com, 
Wwww.pearsonvue.com, www.prometric.com 


Fundación Proydesa Sarmiento 
930 3% piso Capital Federal, teléfonos 
4326-4917 / 5958 / 9839 

Website: http://www.proydesa.org e- 
mail: academiaOproydesa.org 


Tenemos certificaciones 
para todos los gustos. La realidad en 
Argentina demuestra que muchas 
veces no se valora tener profesiona- 
les certificados. Las empresas deben 
evaluar hasta qué punto les conviene 
mantener técnicos altamente espe- 
cializados y certificados. Muchas empresas mul- 
tinacionales que residen en el país traen su 
mano de obra e infraestructura ya configurada 
del exterior, con lo cual podemos sentir cierto 
recelo al respecto. No es muy viable hablar de 
sueldos de acuerdo a la certificación obtenida 
pero lo que sí estamos en condiciones de afir- 
mar es que quien se certifica está en condicio- 
nes de adquirir un plus salarial. 

Deseamos expresar nuestro más 
especial agradecimiento al Sr. Oscar Gerometta, 
Instructor de Fundación Proydesa, por su 
valiosa colaboración y predisposición para la 
realización de esta nota. 

Leonel F. Becchio € Ximena Antona 
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Garantía de Educación 


Un alumno, cuando 
"compra" un curso no 
busca otra cosa más 
que ADQUIRIR UN 
APRENDIZAJE, 
capacitarse, 
aprender, y crecer en 
el mundo de IT 
conociendo siempre 
las últimas 


tecnologías. La Garantía de aprendizaje 
COR, permite a TODOS los alumnos re- 
cursar cuantas veces sea necesario las 
Carreras o Cursos de COR TECH. 


Aprovechá la posibilidad de volver a hacer 
tus cursos; ya sea si te quedaste con 
dudas, o faltaste alguna que otra clase, o 
simplemente porque deseas conocer el 
perfil de otro profesor o volver hacer el 
curso para conocer gente nueva. 


En COR no comprás UN CURSO; comprás 
UN APRENDIZAJE (y queremos 
asegurarnos de dártelo). 


COR 


Consultora en 
Consultora en 


tación Informática 
wridad Informática 


Garantía de Precio 


COR Technologies 
garantiza ofrecerte un 
precio 10 % más bajo 
para cualquier 
presupuesto de 
Educación o consultoría 
en Buenos Aires o en el 
Interior del País. 

Presentando el 
presupuesto de la 


competencia (ya sea por escrito o por e- 
mail; para un mínimo de 2 Alumnos ó 
mínimo de $1000) COR te brinda la 
Capacitación o la Solución buscada a un 
costo 10 % mas bajo (sólo multiplicá tu 
presupuesto por 0,90 y obtené el precio 
que te ofrece COR). 


La Garantía de precio será respetada 
siempre y cuando el precio cobrado 
finalmente mo sea menor al costo de 
realizar la Capacitación / Consultoría, COR 
Technologies se reserva el derecho de 
validación de los presupuestos 
propiamente presentados. 


www.cortech.com.ar 


e de Consultoría 


Una característica 
de nuestras 
consultorías es que 
COR garantiza la 
lcompleta 
conformidad de 
Cliente; o se 
reintegra el monto 


total de lo abonado para la misma. La 
Garantía de Consultoría permite al cliente 
estar confiado de que recibirá lo que 
desea; y que COR garantiza el resultado 
del problema mediante la Solución 
oportunamente propuesta. 


Ae Cheks 


COR premia la Capacitación 
entregándole a todos nuestros 
alumnos la suma 
correspondiente de CORCheks. 
Cada CORChek es equivalente 
a un Peso; para ser utilizado en 
cualquiera de nuestros Cursos 
y Carreras. Los CORCheks no son 
transferibles; y no pueden utilizarse junto a 
otras promociones. 


Microsoft Certified Systems Administrator (MCSA) 


Windows 2003 


CERTIFIED CERTIFIED 


Technical Educatior 
Center 


Partner 
for Learning Solutions 


EXAMEN - Client 


Examen 70-270: Instailing, Configuring, 
and Administering Microsoft Windows 
XP Professional 


EXAMEN - Networkina 


Examen 70-290: Managing and Maintaining 
a Microsoft Windows Server 2003 Environment 


Examen 70-291: Implementing, Managing, and 
Maintaining a Microsoft Windows Server 2003 
Network Infrastructure 


EXAMEN - Elective 


Examen 70-227: Installing, Configuring. and 
Administering Microsoft Internet Security 
and Acceleration (ISA) Server 2000, 
Enterprise Edition 


fi Cursos: 5 (cinco 


Microsoft Certified Systems Administrator (MCSA Sec.) 


Security on Windows 2003 


EXAMEN - Client 


Examen 70-270: Installing, Configuring, 
and Administering Microsoft Windows 
XP Professional 


EXAMEN - Networking 


Examen 70-290: Managing and Maintaining 
a Microsoft Windows Server 2003 Environment 


Examen 70-291: Implementing, Managing, and 
Maintaining a Microsoft Windows Server 2003 
Network Infrastructure 


EXAMEN - Elective 


Examen 70-227: Installing, Configuring, and 
Administering Microsoft Internet Security 
and Acceleration (ISA) Server 2000, 
Enterprise Edition 


Examen 70-299: Implementing and 
Administering Security in a Microsoft 
Windows Server 2003 Network 
fi Cursos: 6 (seis! 


MOC's incluidos: 6 (seis 


CURSO - Client 


Curso 2285: Installing, Configuring. and 
Administering Microsoft Windows XP 
Professional (Duración 16 hs) 


CURSO - Networking 


Curso 2273: Managing and Maintaining a 
Microsoft Windows Server 2003 
Environment (Duración 40 hs) 


Curso 2276: Implementing a Microsoft Windows 
Server 2003 Network Infrastructure: Network 
Hosts (Duración 16 hs) 


Curso 2277: Implementing, Managing, and 
Maintaining a MS Windows Server 2003 Network 
Infrastructure: Network Services (Duración 40 hs) 


CURSO -Elective 
Curso 2159: Deploying and Managing Microsoft 


Internet Security and Acceleration Server 2000 
(Duración 24 hs) 


II Track Recomendado // 


CURSO - Client 


Curso 2285: Installing, Configuring, and 
Administering Microsoft Windows XP 
Professional (Duración 16 hs) 


CURSO - Networking 


Curso 2273: Managing and Maintaining a 
Microsoft Windows Server 2003 
Environment (Duración 40 hs) 


Curso 2276: implementing a Microsoft Windows 
Server 2003 Network Infrastructure: Network 
Hosts (Duración 16 hs) 


Curso 2277: Implementing, Managing, and 
Maintaining a MS Windows Server 2003 Network 
Infrastructure: Network Services (Duración 40 hs) 


CURSO -Elective 


Curso 2159: Deploying and Managing Microsoft 
Internet Security and Acceleration Server 2000 
(Duración 24 hs) 


Curso 2823: Implementing and Administering 
Security in a Microsoft Windows Server 2003 
Network (Duración 40 hs) 


Duración Total: 176 hs 


Fechas Inicio Calendario 
MCSA y MCSA Security 


INICIO DIAS 
03-08-04 M-J 
13-08-04 L-M-V 
12-08-04 M-J 
03-09-04 L-M-V 
09-09-04 M-J 
08-09-04 L-M-Y 
05-10-04 M-J 
12-10-04 M-J 
13-10-04 L-M-V 
02-11-04 M-J 
10-11-04 L-M-V 
15-11-04 L-M-V 
04-01-05 M-J 
14-01-05 L-M-V 
19-01-05 L-M-V 
08-02-05 M-J 
11-02-05 L-M-V 
18-02-05 L-M-V 
15-03-05 M-J 
18-03-05 L-M-V 
10-03-05 M-J 
19-04-05 M-J 
14-04-05 M-J 
13-04-05 L-M-V 
04-05-05 M-J 
10-05-05 M-J 
18-05-05 L-M-V 
07-06-05 M-J 
15-06-05 L-M-V 
17-06-05 L-M-V 
05-07-05 M-J 
13-07-05 L-M-V 
15-07-05 L-M-Y 


HORARIO 
9.00 a 13.00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
9.00 a 13,00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
9.00 a 13.00 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18,30 a 22.30 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
9.00 a 13,00 
18.30 a 22.30 
9.00 a 13.00 
18,30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 


Para más información sobre la carrera MCSA Windows 2003 visitá www.cortech.com.ar/ms/mcsa.htm ó www.microsoft,com/learningimcpimcsa/dofaultasp 


Certificaciones Internacionales 


¿Dónde se pueden rendir los exámenes para certificarme como 
MCSA y/o MCSE? 

Podés hacer los exámenes en cualquier centro CTEC (Certified 
Training Education Center) de tu localidad que provea exámenes VUE: 
Virtual Universities Enterprise (ver www.vue,com) 


Deberás entonces reservar tu turno de examen y abonar el costo 
correspondiente de 125.00 U$S en U.S.A. por examen; y 80.00 USS 
en Argentina (tarifas adicionales o descuentos pueden aplicarse en 
otras regiones). 


www.cortech.com.ar 
TA 


Todos los Tracks MCSA 


¿Cuáles son los Exámenes que debo tomar para recibirme de 
MCSA? 

Existen muchísimas combinaciones de Exámenes para recibirse de 
MCSA: Microsoft Certified Systems Administrator, Cada una con 
diferentes especializaciones y electivos para tomar. 

MCSA 

http://www.cortech.com.ar/gen/mcsawin2003.pdf 
http//www.cortech.com.arígen/MCSASec2000-2003.pdf 
http:/Awww.cortech.com.ar/gen/MCSAMes2000-2003.pdf 
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Microsoft Certified Systems Engineer (MCSE) 


Windows 2003 


EXAMEN - Client 


Examen 70-270: Installing, Configuring. 
and Administering Microsoft Windows 
XP Professional 


EXAMEN - Networking 


Examen 70-290: Managing and Maintaining 
a Microsoft Windows Server 2003 Environment 


Examen 70-291: Implementing, Managing, and 
Maintaining a Microsoft Windows Server 2003 
Network Infrastructure 


Examen 70-293: Planning and Maintaining a 
Microsoft Windows Server 2003 
Network Infrastructure 


Examen 70-294: Planning, Implementing, and 
Maintaining a Microsoft Windows Server 2003 
Active Directory Infrastructure 


EXAMEN - Design 


Examen 70-298: Designing Security for a 
Microsoft Windows Server 2003 Network 


EXAMEN - Elective 

Examen 70-227: Installing, Configuring, and 
Administering Microsoft Internet Security 
and Acceleration (ISA) Server 2000, 
Enterprise Edition 


CERTIFIED 


CERTIFIED 


Partner 


Technical Educatios 


CURSO - Client 

Curso 2285: Installing, Configuring, and 
Administering Microsoft Windows XP 
Professional (Duración 16 hs) 


CURSO - Networking 


Curso 2273: Managing and Maintaining a 
Microsoft Windows Server 2003 
Environment (Duración 40 hs) 


Curso 2276: Implementing a Microsoft Windows 
Server 2003 Network Infrastructure: Network 
Hosts (Duración 16 hs) 


Curso 2277: Implementing, Managing, and 


Maintaining a MS Windows Server 2003 Network 
Infrastructure: Network Services (Duración 40 hs) 


Curso 2278: Planning and Maintaining a 
Microsoft Windows Server 2003 
Network Infrastructure (Duración 40 hs) 


Curso 2279: Planning, Implementing, and 
Maintaining a Microsoft Windows Server 2003 
Active Directory Infrastructure (Duración 40 hs) 


CURSO - Design 


Microsoft Certified Systems Engineer (MCSE Sec.) 
Security on Windows 2003 (Carrera MCsE + Examen 70-299) 


Examen 70-299: Implementing and 
Administering Security in a Microsoft 
Windows Server 2003 Network 


$ Cursos: 9 (nueve 


Microsoft Certified Systems Engineer // track Recomendado // 
+ 2282 on Win. 2003 (Carrera MCSE Security + Examen 70-297) 


Securi 


Examen 70-297: Designing a Microsoft 


Windows Server 2003 Active Directory 
and Network Infrastructure 


MOC's incluidos: 9 (nueve 


Centor 


for Leaming Solutions 


Fechas Inicio Calendario 
MCSE. MCSE Security y MCSE Sec + 2282 


Curso 2830: Designing Security for Microsoft ONDA Sat 9.00 a 13.00 
Networks (Duración 24 hs) 20-08-04 L-M-V 18.30 a 22.30 
19-08-04 M-J 18.30 a 22.30 
CURSO - Elective 10-09-04 L-M-V 9.00 a 13.00 
Curso 2159: Deploying and Managing Microsoft , 50 ie a ] e v A 0 
Intemet Security and Acceleration Server 2000 12-10-04 M ye 18.30 . 22.30 
furación 20 he) 19-10-04 M-J 9.00a13.00 
20-10-04 L-M-V 18.30 a 22.30 
09-11-04 M-J 9.00 a 13.00 
17-11-04 L-M-V 18.30 a 22,30 
24-11-04 L-M-V 9.00 a 13.00 
11-01-05 M-J 18.30 a 22.30 
21-01-05 L-M-V 18.30 a 22.30 
26-01-05 L-M-V 9.00 a 13.00 
15-02-05 M-J 9.00 a 13.00 
Curso 2823: Implementing and Administering E Evil da o 
Security in a Microsoft Windows Server 2003 22-03-05 M. Edy 9 00 19 00 
Network (Duración 40 he) 25-03-05 L-M-V 18.30 a 22.30 
17-03-05 M-J 18.30 a 22.30 
26-04-05 M-J 18.30 a 22.30 
21-04-05 M-J 9.00 a 13.00 
20-04-05 L-M-V  9.00a 13.00 
10-05-05 M-J 18.30 a 22.30 
17-05-05 M-J 9.00 a 13.00 
25-05-05 L-M-Y 18.30 a 22.30 
14-06-05 M-J 9.00 a 13.00 
Curso 2282: Designing a Microsoft Windows AE iia! Apodo e 
Server 2003 Active Directory and Network 12-07-05 M-J 4 8 30a 22 30 
Infrastructure (Duración 40 hs) 20-07-05 L-M-V 18.30 a 22.30 
22-07-05 L-M-V  9.00a 13.00 


Duración Total: 320 hs 


Todos los Tracks MCSE 


¿Cuáles son los Exámenes que debo tomar para recibirme de 
MCSE? 


Existen muchísimas combinaciones de Exámenes para recibirse de 
MCSE: Microsoft Certified Systems Engineer. Cada una con diferentes 
especializaciones y electivos para tomar. 

MCSE 

http:/Awww.cortech.com.ar/gen/mcsewin2003.pdf 
http:/Awww.cortech.com.ar/gen/MCSESec2000-2003.pdf 
http:/Awww.cortech.com.ar/gen/MCSEMes2000-2003. pdf 
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Para más información sobre la carrera MCSE Windows 2003 visitá www.cortech.com.arims/mese.htm 6 www.microsoft,com/learning/mep/mese/deofault.asp 


Logos MCP 
¿Cuáles son los logos que podré utilizar cuándo me reciba de MCP, 
MCSA, MCSE, MCDBA, MCAD ó MCSD?¿Existe alguna diferencia 
entre los logos con especializaciones en Security, Messaging, 
etc..? 
Al finalizar de haber rendido todos los Exámenes de cada Carrera 
Microsoft, podrás utilizar el logo correspondiente. Todos las Carreras 
(como así tambien las especializaciones) poseen un logo diferente. 
Podés encontrar todos los logos Microsoft correspondientes en 
http //www.microsoft.com/lleaming/mcpexams/faq/logo.asp 
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Microsoft Certified Application Developer (MCAD) 


Visual Basic .NET 


EXAMEN - Módulo | 


Examen 70-305: Developing and Implementing 
Web Applications with MicrosoftD Visual 
BasicO .NET and Microsoft Visual 

Studio) .NET 


EXAMEN - Módulo ll 


Examen 70-310: Developing XML Web 


Services and Server Components with 
MicrosoftB) Visual Basicd .NET and the 
Microsoft NET Framework 


EXAMEN - Módulo 1Il 


Examen 70-229: Designing and Impl. Databases 
with MS SQL Server 2000" Enterprise Edition 


$ Cursos: 6 (seis 


CURSO - Módulo | 


Curso 2559: Introduction to Visual Basic NET 
Programming with Microsoft NET (Duración 20 hs) 


Curso 2310: Developing Microsor ASP.NET Web 
Applications Using Visual Studio .NET (Duración 40 hs) 


CURSO - Módulo ll 


Curso 2415: Programming with the Microsoft) NET 
Framework (Microsoft V. BasioB NET) (Duración 40 hs) 


Curso 2524: Developing XML Web Services Using 
Microsoft) ASP.NET (Duración 20 hs) 


Curso 2557: Building COM+ Applications Using 
Microsoft ¡NET Enterprise Services (Duración 20 hs) 


CURSO - Módulo (Il 


Curso 2073: Programming a Microsoft SOL Server 
2000 Database (Duración 40 hs) 


Duración Total: 180 hs 


Microsoft Certified Solution Developer (MCSD) 


Visual Basic .NET (Carrera MCAD + Examen 70-300 + Examen 70-306) 


EXAMEN - Módulo IV 

Examen 70-300: Analyzing Requirements 4 
Defining .NET Solution Architectures 
EXAMEN - Módulo V 


Examen 70-306: Developing 4 Impementing 
Windows-based Applications with Microsoft 
Visual Basic .NET 8 MS Visual Studio NET 


Cursos: 8 (ocho 


CURSO - Módulo IV 


Curso 2710 ; Analyzing Requirements and Defining NET 
Solution Architecture (Duración 40 hs) 


CURSO - Módulo Y 


Curso 2565: Developing Microsoft NET Applications for 
Windows (Visual Basic NET) (Duración 20 hs) 


Duración Total: 240 hs 


Microsoft Certified Application Developer (MCAD) 


CAY NET 


EXAMEN - Módulo | 


Examen 70-315: Developing and Implementing 
Web Applications with Microsoft Visual 
Cit" NET and Microsoft Visual Studio NET 


EXAMEN - Módulo Il 


Examen 70-320: Developing XML Web 


Services and Server Components with 
Microsoft Visual CH and the Microsoft 
NET Framework 


EXAMEN - Módulo 1ll 


Examen 70-229: Designing and Impl. Databases 
with MS SOL Server 2000** Enterprise Edition 


I| Track Recomendado // 


CURSO - Módulo 1 


Curso 2609: Introduction to CF Programming with 
Microsoft NET (Duración 20 hs) 


Curso 2310: Developing Microsoft ASP.NET Web 
Applications Using Visual Studio .NET (Duración 40 hs) 


CURSO - Módulo Il 


Curso 2349: Programming with the Microsoft NET 
Framework (Microsoft Visual C* NET) (Duración 40 hs) 


Curso 2524: Developing XML Web Services Using 
Microsoft) ASP.NET (Duración 20 hs) 


Curso 2557: Building COM+ Apphcations Using 
Microsoft) .NET Enterprise Services (Duración 20 hs) 


CURSO - Módulo lll 


Curso 2073: Programming a Microsoft SQL Server 
2000 Database (Duración 40 hs) 


CERTIFIED CERTIFIED 


Partner 
for Learning Solutions 


Technical Education 
Center 


son: Examen 70-228 (Installing, Configuring, 
and Admi Microsoft SQL Server 2000 
Enterprise Edition) y Examen 70-229 (Designing 
and Implementing Databases with Microsoft 
SOL Server 2000 Enterprise Edition). 


Estos Exámenes podrán con los 
Cursos Oficiales 2072 (Administering a MS-SQL 
Server 2000 Database) y 2073 (Programming a 
MS-SOL Server 2000 Database) 
respectivamente. 


Fechas Inicio Calendario 
MCAD V. Basic, MCSD y MCAD CF 


INICIO. DIAS HORARIO 
03-08-04 M-J 9,00 a 13.00 
13-08-04 L-M-V 18,30 a 22.30 
12-08-04 M-J 18.30 a 22.30 
03-09-04 L-M-V 9.00 a 13.00 
09-09-04 M-J 9.00 a 13.00 
08-09-04 L-M-V 18.30 a 22.30 
05-10-04 M-J 18.30 a 22.30 
12-10-04 M-J 9.00 a 13,00 
13-10-04 L-M-V 18.30 a 22.30 
02-11-04 M-J 9.00 a 13.00 
10-11-04 L-M-V 18,30 a 22.30 
15-11-04 L-M-Y 9,00 a 13.00 
04-01-05 M-J 18.30 a 22.30 
14-01-05 L-M-Y 18.30 a 22.30 
19-01-05 L-M-V 9,00 a 13.00 
08-02-05 M-J 9.00 a 13.00 
11-02-05 L-M-VW 9.00 a 13.00 
18-02-05 L-M-V 18.30 a 22.30 
15-03-05 M-J 9.00 a 13.00 
18-03-05 L-M-V 18,30 a 22.30 
10-03-05 M-J 18,30 a 22.30 
19-04-05 M-J 18.30 a 22.30 
14-04-05 M-J 9.00 a 13.00 
13-04-05 L-M-V 9,00 a 13.00 
04-05-05 M-J 18.30 a 22.30 
10-05-05 M-J 9.00 a 13.00 
18-05-05 L-M-V 18,30 a 22.30 
07-06-05 M-J 9.00 a 13.00 
15-06-05 L-M-V 18.30 a 22.30 
17-06-05 L-M-V 9.00 a 13.00 
05-07-05 M-J 18.30 a 22.30 
13-07-05 L-M-Y 18,30 a 22.30 
15-07-05 L-M-V 9.00 a 13.00 


Para más información sobre la carrera MCAD .NET, MCSD y MCAD C4 visitá www.cortech.com.arimsims4,htm ó www.microsoft.com/learning/mep/mcad/ 


Links Microsoft 
¿Existe algún link en donde se puedan ver todos los Exámenes 
actuales de Microsoft y todos sus Cursos Oficiales asociados? 


Para ver todos los Exámenes Microsoft vigentes que existen visitá 
www.microsoft.com/learning/mcpexams/prepare/findexam.asp 
Allí los podrás visualizar por Carreras o por número de Examen. 


Y para ver todos los Cursos Oficiales vigentes visitá 


www.microsoft.com/traincert/training/find/findcourse.asp 
Allí podrás visualizarlos por Producto o por número de Curso. 


"COR [Technologies | yywyw.cortech.com.ar 
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Carrera MCDBA 


¿Cuáles son los exámenes que debo tomar para realizar la Carrera 
MCDBA? 

Para ver el listado completo de todas las opciones que existen para 
convertirte en Microsoft Certified Data Base Administrator (MCDBA) te 
recomendamos visitar la siguiente página WEB: 
http://www.microsoft. comlearning/mcp/mcdba/default.asp. 

El Track recomendado para convertirte en MCDBA es realizar la Carrera 
MCSE de 240 hs de Duración (7 Exámenes) + los Exámenes de SQL 
Server 70-228 (Administering) y 70-229 (Programming) 


SUPLEMENTO GUÍA CURSOS Y CARRERAS 
- | AGOSTO 2004 A 31 JuLio 2005 


Fechas Inicio Calendario 
WEB Design Completa y Expert 


INICIO. DIAS 
06-08-04 L-M-W 
12-08-04 M-J 
17-08-04 M-J 
04-09-04 S 
08-09-04 L-M-V 
16-09-04 M-J 
01-10-04 L-M-Y 
07-10-04 M-J 
13-10-04 L-M-V 
06-11-04 S 
10-11-04 L-M-V 
18-11-04 M-J 
07-01-05 L-M-W 
13-01-05 M-J 
18-01-05 M-J 
05-02-05 S 
11-02-05 L-M-V 
17-02-05 M-J 
04-03-05 L-M-W 
17-03-05 M-J 
18-03-05 L-M-V 
09-04-04 S 
08-04-05 L-M-V 
21-04-05 M-J 
13-05-04 L-M-V 
12-05-05 M-J 
19-05-05 M-J 
11-06-05 S 
15-06-05 L-M-V 
16-06-05 M-J 
06-07-05 L-M-V 
14-07-05 M-J 
20-07-05 L-M-Y 


Carrera COR Security // Track Recomendado // 
SEC1 + SEC2 + Especialización (a elección) 


EXAMEN - CISSP 


HORARIO 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
9.30 a 12.30 


Carrera WEB Design Completa 


WEB1 + WEB2 + WEB3 
EXAMEN - WEB Design 


Examen Dreamweaver MX 2004 Designer 


Exámenes Flash MX 2004 Designer 
y Developer 


Exámenes Dreamweaver MX 2004 Designer 
y Developer 


$ Cursos: 3 (t 


Carrera WEB Design Expert 


CURSO - WEB Design 


Módulo WEB1: Curso de Front Page XP y 
Macromedia Dreamweaver MX 04 (Duración 18 hs) 


Módulo WEB2: Curso de Macromedia Flash MX 04 
y Macromedia Fireworks MX 04 (Duración 21 hs) 


Módulo WEB3: Curso de Edición HTML e 
Introd. a Programación ASP (Duración 21 hs) 


WEB1 + WEB2 + WEB3 + WEB4 + WEB5 // Track Recomendado // 


EXAMEN - WEB Design 


Examen Dreamweaver MX 2004 Developer 


CURSO - WEB Developer 
Módulo WEB4: Curso Programación ASP 
Avanzado (Duración 21 hs) 


Módulo WEB5: Curso Programación PHP 
Avanzado (Duración 21 hs) 


Para más información sobre la 
carrera WEB Design Completa y 
WEB Design Expert visitá 


Fechas Inicio Calendario 
Carrera COR Security + Especializaciones 


18.30 a 21.30 
14.00 a 17,00 


CISSP: Certified 


Information Systems 
Security Professional 


Especialización LINUX 


Módulo LX5: Seguridad y contra-seguridad en 


Redes (Duración 12hs) 
+ 


Workshop LX6: Workshops Servidor de 
Firewall y Squid (Comparación con ISA Server) 


(Duración 12 hs) 
+ 


Workshop LX8: Workshops Implementando 


VPNs bajo Linux (Duración 12 hs) 


www.cortech.com.ariweb/web1.htm 


Clínica SEC1: Seguridad y sus fundamentos 
(Duración 20 hs) 


Clínica SEC2: Seguridad Avanzada 
(Duración 20 hs) 


Especialización Microsoft 


Curso 2159: Deploying and Managing Microsoft 
Internet Security and Acceleration Server 2000 
(Duración 24 hs) 

+ 


Curso 40 hs Seguridad Electivo de la Curricula 
Oficial Microsoft 

+ 

Curso 2823: Implementing and Administering 
Security in a Microsoft Windows Server 2003 
Network (Duración 40 hs) 


INICIO DIAS 
17-08-04 M-J 
27-08-04 L-M-V 
26-08-04 M-J 
17-09-04 L-M-V 
23-09-04 M-J 
22-09-04 L-M-V 
19-10-04 M-J 
26-10-04 M-J 
27-10-04 L-M-V 
16-11-04 M-J 
24-11-04 L-M-V 
29-11-04 L-M-V 
18-01-05 M-J 
28-01-05 L-M-V 
02-02-05 L-M-V 
22-02-05 M-J 
25-02-05 L-M-V 
04-03-05 L-M-V 
29-03-05 M-J 
23-03-05 L-M-V 
24-03-05 M-J 
14-04-05 M-J 
28-04-05 M-J 
27-04-05 L-M-V 
17-05-05 M-J 
24-05-05 M-J 
01-06-05 L-M-V 
21-06-05 M-J 
29-06-05 L-M-W 
01-07-05 L-M-V 
19-07-05 M-J 
27-07-05 L-M-V 
29-07-05 L-M-V 


HORARIO 
9.00 a 13.00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
9.00 a 13,00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22,30 
18.30 a 22.30 
9.00 a 13.00 
9.00 a 13.00 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13,00 
18.30 a 22.30 
18.30 a 22.30 
18,30 a 22.30 
9.00 a 13.00 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
9.00 a 13.00 
18.30 a 22.30 
18.30 a 22.30 
9.00 a 13.00 


Para más información sobre la carrera COR Security y sus Especializaciones visitá www.secure105,com.ar 


Certificaciones Macromedia 
¿Dónde se pueden rendir los exámenes para certificarme como 
Macromedia Dreamweaver MX 2004 Designer, Developer y Flash 
MX 2004 Designer, Developer? 
Podés hacer los exámenes en cualquier centro de tu localidad que provea 
exámenes VUE: Virtual Universities Enterprise (ver www.vue.com). 
Deberás entonces reservar tu tumo de examen y abonar el costo 
correspondiente de 150,00 U$S para cada Examen MX 2004. 
Más información respecto de las Certificaciones Macromedia MX 2004 
podrás encontraría en www.macromedia.com 


Cursos Intensivos y Personalizados 


¿Cómo puedo hacer para que yo o la gente de mi Empresa pueda 
cursar cualquiera de los Cursos y Carreras Microsoft, Security, 
WEB Design o Linux de manera Personalizada / Intensiva? 


Te recomendamos averiguar por costos y metodologías de cursada de 
todos nuestros Cursos y Carreras para realizarlos de forma intensiva y 
personalizada ya sea en las Oficinas de COR TECH o in Company 
(Capital o Interior del Pais). 

Enviando solamente un email a intensivefWcortech.com.ar o llamando 
al (54)11-4312-7694, 


COR |recimologies | yyyyw.cortech.com.ar 


SUPLEMENTO GUÍA CURSOS Y CARRERAS 
- | AGOSTO 2004 A 31 Junio 2005 


Carrera Linux Completa 
LX1 + LX2 + LX3 


EXAMEN - LPIC Nivel 1 peration 


Módulo LX1: Curso Operador Linux 
(Duración 15 hs) 


CURSO - Administration 


Módulo LX2: Curso Administrador Linux 
(Duración 15 hs) 


CURSO - Networking 


Módulo LX3: Curso Redes Linux 
(Duración 15 hs) 


Duración Total: 45 hs 


Carrera Linux Avanzada 
LX1 + LX2 + LX3 + LX4 + LX5 


EXAMEN - LPIC Nivel 2 CURSO - Networking 


Módulo LX4: Curso Redes Linux Avanzado 
(Duración 15 hs) 


CURSO - Securing 


Módulo LX5: Curso Seguridad y Contra-Seguridad 
Linux (Duración 15 hs) 


Duración Total: 69 hs 


Carrera Linux Expert // Track Recomendado // 
LX1 + LX2 + LX3 + LX4 + LX5 + 2 Workshops LX (a elección) 


EXAMEN - LPIC Nivel 1 y Nivel 2 Workshops - Certificación 


LPIC-1: Workshops para Exámenes LPI-101 
y LP1-102 (Duración 12 hs) 


LPIC-2: Workshops para Exámenes LP1-201 
y LPI-202 (Duración 12 hs) 


EXAMEN - LPIC Nivel 3 


LX6: Workshops Servidor de Firewall y Squid 
(Comparación con ¡SA Server) (Duración 12 hs) 


LX7: Workshops Clustering bajo Linux 
(Beowulf! Open Mosix / Condor) (Duración 12 hs) 


LX8: Workshops implementando VPNs bajo Linux 
(FreeSwan) (Duración 12 hs) 


LX9: Workshops Apache WEB Server 
(Duración 12 hs) 


Total: 93 hs 


debian 


Fechas Inicio Calendario 
plete 


Carrera Linux 


14-10-04 M-J 
05-11-04 L-M-V 
11-11-04 M-J 
12-11-04 L-M-V 
05-01-05 L-M-V 
08-01-05 S 
13-01-05 M-J 
04-02-05 L-M-V 
10-02-05 M-J 
15-02-05 M-J 
04-03-05 L-M-V 
12-03-05 S 
17-03-05 M-J 
06-04-05 L-M-V 
14-04-05 M-J 
08-04-05 L-M-V 


01-07-05 L-M-V 
14-07-05 M-J 
16-07-05 S 


Advanced y Expert 


HORARIO 
9.30 a 12.30 
10.00 a 13.00 
18.30 a 21.30 
18.30 a 21.30 
9.30 a 12.30 
14.00 a 17.00 
9.30 a 12.30 
10.00 a 13.00 
18.30 a 21.30 
18.30 a 21.30 
9.30 a 12.30 
14.00 a 17.00 
9.30 a 12.30 
10.00 a 13.00 
18.30 a 21.30 
18.30 a 21.30 
9.30 a 12.30 
14.00 a 17.00 
9.30 a 12.30 
10.00 a 13.00 
18.30 a 21.30 
18.30 a 21.30 
9.30 a 12.30 
14.00 a 17.00 
9.30 a 12.30 
10.00 a 13.00 
18.30 a 21.30 
9.30 a 12.30 
18.30 a 21.30 
14.00 a 17.00 
18.30 a 21,30 
9.30 a 12.30 
10.00 a 13.00 


Para más información sobre la carrera Linux Completa, Avanzada y Expert visitá www.cortech.com.ar/lxc/lxc1.htm 


Costos de las Carreras y Cursos 


¿Dónde se puede averiguar el costo de los Cursos y Carreras 
Microsoft, Security, WEB Design y/o Linux? 


Podés averiguar los costos de los Cursos y Carreras acercándote 
personalmente a COR Technologies SRL: Av. Córdoba 657 Piso 12, 
telefónicamente llamando al (54)11-4312-7694, vía correo electrónico 
a masinfoíAWMcortech.com.ar, o en http://www.cortech.com.ar 


http://www.cortech.com.ar/gen/Cursos y Fechas COR.pdf 


_COR [Technologies | yyw.cortech.com.ar 


Certificaciones LPI 


¿Dónde se pueden rendir los exámenes para certificarme en LPIC 
101, 102, 201 6 202? 


Podés hacer los exámenes en cualquier centro de tu localidad que provea 
exámenes VUE: Virtual Universities Enterprise (ver www.vue.com) 


Deberás entonces reservar tu tumo de examen y abonar el costo 
correspondiente de 150.00 U$S para cada Examen. 


Más información respecto de las Certificaciones LPI podrás encontrarla en 
www.Ipi.org 
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recibís en tu Domicilio. 


MÁS INFO ENCONTRÁS 
EN WWW.NEXWEB.COM.AR 


| » ] SPECIALIST 


ANN 
MN IN 
A l ' ) 


IN 
AN | 


CONECTIVIDAD, 


el punto de partida para que SU NEGOCIO CREZCA. 
Windows XP le da el mayor poder de conexión, lo que significa mayor crecimiento para su 
empresa. Porque tiene la posibilidad de compartir aplicaciones, ubicar clientes y Windows*? 
proveedores de la forma más rápida, transferir archivos en iempo real, ver personas o a > 

productos vía webcam, optimizar su red de contactos, y disponer de asistencia técnica Professional 
remota sin moverse de su lugar de trabajo, También, puede acceder a la PC de su oficina 
desde cualquier equipo en cualquier parte del mundo y hacer presentaciones a distancia. 


Windows XP, conéctese al crecimiento. 


«Conozca más sobre Windows XP ingresando a (PA o llamando al (011) 4316-4600. 


Adquiri tu Windows XP en: Cronon Tecnología S.R.L. - Av. Ingeniero Huergo 1437 Peso 1* H - Capital Federal - 4300-4500 / Softmanía Computación $,M. - Suárez 1400 - Capital Federal - 4301-2458 / Gama 
Informática S.R.L. - Av. ing. Huergo 1437 Piso 1* C - Capital Federal - 4307-8884 / Quality Work S.A. - Florin 939 Piso 4* G - Capital Federal - 4312-6702 / Damacomp S.A. - Sarmiento 412 Piso 2* Of, 204 - 
Capitol Federa! - 4328-3759 / Inntee S.A. - Chacabuco 431 - Capital Fodera! - 4331-0700 / L. P. Escobar Hnos. S.A, - Av. Julio A. Roca 576 - Capital Foderni - 4342-3202 / Phonemark S.R.L. - Morono 1535 
Capital Federal - 4371-1028 / Wober y Asociados S.A.L. - ventesBwober com.ar Capital Federal 4381 7821 / Soluciones Modulares de Sistemas S.A.L. - A. Alsina 1433 Pio 10* A Capitol Federal 4384 0741 
/ Six Working S.R.L. - Av. Nazca 4411 - Capital Federal - 4571-1900 / Eny Key S.R.L. - Castillo 1366 - Capital Federal - 4771-4177 / Blostar Group S.R.L. - Bonglar« 1448 - Capital Federal - 4777-6227 / Grupo 
Sis S.R.L. - Alte, J, P, Sáenz Valiente 1175 - Capital Fodera! - 4787-1050 / Allytech S.A. - Juramento 2059 Piso 1* - Capital Federal - 4787-9009 / Exod S.A. - Malpu 671 Piso 2* - Capital Fodera! - 4878-3963 / 
DAD Distribución Directa $.A, (DOSA) - Av, Honorio Pueyrredón 928 Piso 1* Of. A - Capital Federal - 4982-1251 / Mips Informática - Cerrito 1216 Piso 4* A - Capral Federal - 50326479 / Solutionet S.A. - 
Poraguny 776 Piso 6* - Capital Federal - 5219-0595 / Digital Woridiow - Av. Maipú 3103 Piso 6* F - Olivos - 4790-8008. 


EN icrosoft' 


